伊朗国家支持的威胁组织MudWater及其攻击活动

关键信息

伊朗的国家支持威胁组织MudWater又名Mercury、Cobalt Ulster、TEMPZagros、Yellow Nix、Static Kitten、Earth Vetala、Boggy Serpens及ITG17与DEV1084联手，对本地和云基础设施发动攻击，此类攻击方式类似于勒索软件，但其目的是为了破坏和干扰。此外，DEV1084利用高度权限的凭据进行设备加密和云资源删除，且进行一系列的搜索活动以支持冒充攻击。Microsoft指出，DEV1084的行为可能旨在掩盖伊朗与此次攻击的联系及其战略动机。

根据黑客新闻的报道，MudWater近期的攻击模式与勒索软件活动相似，尽管其真正目的是为了造成破坏。Microsoft表示：“Mercury可能利用未打补丁的应用程序中的已知漏洞来获得初步访问权限，随后将访问权限交给DEV1084，用于进行全面的侦察和发现，建立持久性，并在网络中进行横向移动，通常在推进到下一个阶段之前会等待几周甚至几个月。”

威胁组织名别名攻击特点MuddyWaterMercury Cobalt Ulster TEMPZagros 等破坏性攻击、利用未修补漏洞获取访问权限DEV1084无使用高权限凭据进行设备加密和云资源删除

Microsoft补充道：“DEV1084将自己表现为一个感兴趣于敲诈的犯罪团伙，可能是为了掩盖伊朗与此次攻击之间的联系和战略动机。”众多事件显示，DEV1084所使用的全面电子邮件收件箱访问权限使得其能够进行成千上万的查询活动，为其冒充攻击提供了便利。

总体来看，MudWater与DEV1084的合作在当前的网络威胁环境中显得尤为复杂和危险。政府和企业在面对这类攻击时应当加强安全防护措施，以防止潜在的损失和破坏。