Служба Microsoft Threat Intelligence обнаружила разрушительные операции, проводимые MERCURY, государственным актором, связанным с правительством Ирана, которые атаковали как локальные, так и облачные среды. Хотя угрожающие субъекты пытались замаскировать свою деятельность под стандартную кампанию выкупного ПО, невосстановимые действия показывают, что конечной целью операции было разрушение и нарушение работы.
Предыдущие атаки MERCURY были нацелены на локальные среды, однако в данном случае воздействие, очевидно, включало также разрушение облачных ресурсов. По оценке Microsoft, MERCURY, вероятно, работал в партнерстве с другим агентом, которого Microsoft отслеживает как DEV-1084, который осуществлял разрушительные действия после того, как успешные операции MERCURY получили доступ к целевой среде.
MERCURY, вероятно, использовал известные уязвимости в непропатченных приложениях для получения первоначального доступа, а затем передавал доступ DEV-1084 для проведения обширной разведки и обнаружения, установления устойчивости и бокового перемещения по сети, часто ожидая недели, а иногда и месяцы, прежде чем перейти к следующему этапу. Затем было замечено, что DEV-1084 использовал высокопривилегированные скомпрометированные учетные данные для массового уничтожения ресурсов, включая серверные фермы, виртуальные машины, учетные записи хранилищ и виртуальные сети, а также отправлял электронные письма внутренним и внешним получателям.
В этой записи блога мы подробно описываем наш анализ активности наблюдаемых агентов и соответствующие инструменты.
Microsoft использует обозначения DEV-#### в качестве временного названия неизвестного, возникающего или развивающегося кластера угроз, что позволяет Microsoft отслеживать его как уникальный набор информации до тех пор, пока не достигнет высокой степени уверенности в происхождении или личности субъекта, стоящего за этой деятельностью.
Indicators of Compromise
IPv4
- 104.194.222.219
- 141.95.22.153
- 146.70.106.89
- 192.169.6.88
- 192.52.166.191
- 192.52.167.209
- 193.200.16.3
- 194.61.121.86
- 45.56.162.111
- 45.86.230.20
- 46.249.35.243
Domains
- vatacloud.com
- webstore4tech.uaenorth.cloudapp.azure.com
URLs
- https://pairing.rport.io/qMLc2Wx
SHA256
- 016967de76382c674b3a1cb912eb85ff642b2ebfe4e107fc576065f172c6ef80
- 0dde13e3cd2dcda522eeb565b6374c97b3ed4aa6b8ed9ff9b6224ea97bf2a584
- 3059844c102595172bb7f644c9a70d77a198a11f1e84539792408b1f19954e18
- 36c71ce7cd38733eb66f32a8c56acd635680197f01585c5a2a846cc3cb0a8fe2
- 3e59d36faf2d5e6edf1d881e2043a46055c63b7c68cc08d44cc7fc1b364157eb
- 3fba459d589cd513d2478fb4ae7c4efd6aa09e62bc3ff249a19f9a233e922061
- 486eb80171c086f4d184423ed7e79303ad7276834e5e5529b199f8ae5fc661f2
- 6485a68ba1d335d16a1d158976e0cbfad7ab15b51de00c381d240e8b0c479f77
- 786bd97172ec0cef88f6ea08e3cb482fd15cf28ab22d37792e3a86fa3c27c975
- 80bd00c0f6d5e39b542ee6e9b67b1eef97b2dbc6ec6cae87bf5148f1cf18c260
- 887ae654d69ac5ccb8835e565a449d7716d6c4747dc2fbff1f59f11723244202
- 8dd9773c24703e803903e7a5faa088c2df9a4b509549e768f29276ef86ef96ae
- 9107be160f7b639d68fe3670de58ed254d81de6aec9a41ad58d91aa814a247ff
- ab179112caadaf138241c43c4a4dccc2e3c67aeb96a151e432cfbafa18a4b436
- afd16b9ad57eb9c26c8ae347c379c8e2b82361c7bdff5b189659674d5614854c
- b155c5b3a8f4c89ba74c5c5c03d029e4202510d0cbb5e152995ab91e6809bcd7
- b9cf785b81778e2b805752c7b839737416e3af54f64f1e40e008142e382df0c4
- f1edff0fb16a64ac5a2ce64579d0d76920c37a0fd183d4c19219ca990f50effc