Para peneliti telah melihat kampanye peretasan spionase baru yang menargetkan penyedia layanan telekomunikasi dan TI di Timur Tengah dan Asia.
Kampanye telah dilakukan selama enam bulan terakhir, dan ada hubungan tentatif dengan aktor yang didukung Iran, MERCURY (alias MuddyWater, SeedWorm, atau TEMP.Zagros).
Laporan tersebut berasal dari Tim Pemburu Ancaman di Symantec, yang telah mengumpulkan bukti dan sampel perangkat dari serangan baru-baru ini di Israel, Yordania, Kuwait, Arab Saudi, Uni Emirat Arab, Pakistan, Thailand, dan Laos.
Penyerang tampaknya paling tertarik pada Server Exchange yang rentan, yang mereka gunakan untuk penyebaran shell web.
Setelah pelanggaran awal, mereka mencuri kredensial akun dan bergerak secara lateral di jaringan perusahaan. Dalam beberapa kasus, mereka menggunakan pijakan mereka untuk berporos ke organisasi lain yang terhubung.
Meskipun vektor infeksi tidak diketahui, Symantec dapat menemukan kasus file ZIP bernama “Special discount program.zip,” yang berisi installer untuk aplikasi perangkat lunak desktop jarak jauh. Pelaku ancaman mungkin mendistribusikan email spear-phishing ke target tertentu.
Meskipun atribusinya tidak pasti, Symantec mencatat dua alamat IP yang tumpang tindih dengan infrastruktur yang digunakan dalam serangan MuddyWater yang lebih lama.
Selain itu, perangkat yang digunakan memiliki beberapa kesamaan dengan serangan Maret 2021 yang dilaporkan oleh peneliti Trend Micro.
Namun, banyak aktor yang didukung negara Iran menggunakan alat yang tersedia dan secara teratur beralih infrastruktur, dan dengan demikian, tidak ada atribusi konklusif yang dapat dibuat saat ini.
Selengkapnya: Bleeping Computer
