Официальное уведомление подтверждает подозрения, что группировка поддерживается государством.
Киберкомандование США заявило в среду, что хакерская группа, известная как MuddyWater, связана с иранской разведкой.
«MuddyWater — это иранская группа угроз; Ранее представители отрасли сообщали, что MuddyWater в первую очередь нацелена на страны Ближнего Востока, а также на страны Европы и Северной Америки», — говорится в сообщении Киберкомандования. уведомление.
«MuddyWater является подчиненным элементом Министерства разведки и безопасности Ирана (MOIS)».
В Твиттере Киберкомандование сообщило, что MuddyWater использовала набор вредоносных программ для шпионажа и вредоносной деятельности; авторство предоставлено Национальной объединенной оперативной группой по кибер-расследованиям ФБР.
«Хакерская группа MOIS MuddyWater использует открытый исходный код для вредоносных программ», — говорится в сообщении.
«MuddyWater и другие иранские APT MOIS используют туннелирование DNS для связи со своей инфраструктурой C2; если вы видите это в своей сети, ищите подозрительный исходящий трафик».
Одновременно с уведомлением на VirusTotal были загружены образцы вредоносного ПО MuddyWater, включая Боковой загрузчик PowGoop DDLи бэкдор Mori, использующий туннелирование DNS.
«Goopdate.dll использует неопубликованную загрузку DLL для запуска при запуске невредоносного исполняемого файла GoogleUpdate.exe. goopdate.dll затем дезапутает goopdate.dat, который представляет собой сценарий PowerShell, используемый для деобфускации и запуска config.txt», — заявили Cyber Command, подробно описывая один пример работы PowGoop.
«Config.txt — это сценарий PowerShell, который устанавливает сетевое соединение с сервером PowGoop C2. Он использует модифицированный механизм кодирования Base64 для отправки данных на сервер C2 и обратно. IP-адрес сервера C2 часто жестко запрограммирован в config.txt».
В ноябре кибер-власти США, Великобритании и Австралии приписываемые атаки использование дыр в Fortinet и Exchanges для злоумышленников, поддерживаемых Ираном.
«ФБР и CISA наблюдали, как эта спонсируемая иранским правительством группа APT использует уязвимости Fortinet, по крайней мере, с марта 2021 года, а Microsoft Exchange ProxyShell уязвимости как минимум с октября 2021 года, чтобы получить первоначальный доступ к системам перед последующими операциями, которые включают развертывание программ-вымогателей», — говорится в совместном релизе. заявил.
«ACSC также известно, что эта группа APT использовала ту же уязвимость Microsoft Exchange в Австралии».
Власти заявили, что вместо того, чтобы атаковать определенный сектор экономики, злоумышленники просто сосредоточились на использовании уязвимости, где это возможно, и после операции они попытались превратить этот первоначальный доступ в кражу данных, программу-вымогателя. нападение или вымогательство.
В том же месяце Microsoft заявила, что в 2020 году атак со стороны спонсируемых государством иранских хакеров на компании, предоставляющие ИТ-услуги, практически не было, но в 2021 году превысило 1500 потенциальных атак.
Сопутствующее покрытие
- Проверьте свои записи SPF: широкий диапазон IP-адресов снижает безопасность электронной почты и делает возможным фишинг
- Fortinet: Киберпреступники используют новости Omicron для распространения вредоносного ПО RedLine
- EA подтверждает, что десятки известных аккаунтов FIFA были взломаны
- Трояны удаленного доступа, распространяющиеся через Microsoft Azure, злоупотребление облачными сервисами AWS