Oficiálne oznámenie potvrdzuje podozrenie, že skupina je podporovaná štátom.
Kybernetické velenie Spojených štátov v stredu uviedlo, že hackerská skupina známa ako MuddyWater je prepojená s iránskymi spravodajskými službami.
„MuddyWater je iránska hroziaca skupina; už predtým priemysel oznámil, že MuddyWater sa zameral predovšetkým na krajiny Blízkeho východu a tiež na európske a severoamerické národy,“ uviedlo Cyber Command. upozorniť.
"MuddyWater je podriadeným prvkom v rámci iránskeho ministerstva pre spravodajstvo a bezpečnosť (MOIS)."
Na Twitteri Cyber Command uviedol, že MuddyWater používa súpravu malvéru na špionáž a zákernú činnosť, pričom autorstvo poskytla Národná kybernetická vyšetrovacia skupina FBI.
"Hackerská skupina MOIS MuddyWater používa open source kód pre malvér," uvádza sa v správe.
„MuddyWater a ďalšie iránske MOIS APT používajú tunelovanie DNS na komunikáciu so svojou infraštruktúrou C2; ak to uvidíte vo svojej sieti, vyhľadajte podozrivú odchádzajúce prenosy."
Spolu s jeho upozornením boli do VirusTotal nahrané vzorky škodlivého softvéru MuddyWater, vrátane PowGoop DDL sideloadera Mori backdoor, ktorý používa tunelovanie DNS.
"Goopdate.dll používa pri spustení neškodného spustiteľného súboru GoogleUpdate.exe bočné načítanie knižnice DLL." goopdate.dll potom de-obfuscate goopdate.dat, čo je PowerShell skript používaný na de-zahmlenie a spustenie config.txt,“ povedal Cyber Command, keď podrobne opísal jeden príklad fungovania PowGoop.
"Config.txt je skript PowerShell, ktorý nadväzuje sieťovú komunikáciu so serverom PowGoop C2. Používa upravený mechanizmus kódovania base64 na odosielanie údajov do a zo servera C2. IP servera C2 je často pevne zakódovaná v súbore config.txt."
V novembri kybernetické úrady v USA, Veľkej Británii a Austrálii pripisované útoky zneužívanie dier vo Fortinet a Exchanges útočníkom podporovaným Iránom.
„FBI a CISA pozorovali, že táto skupina APT podporovaná iránskou vládou využíva zraniteľné miesta Fortinet minimálne od marca 2021 a Microsoft Exchange ProxyShell. zraniteľnosť minimálne od októbra 2021 na získanie počiatočného prístupu k systémom pred následnými operáciami, ktoré zahŕňajú nasadenie ransomvéru,“ spoločné vydanie uviedol.
"ACSC si tiež uvedomuje, že táto skupina APT použila rovnakú zraniteľnosť Microsoft Exchange v Austrálii."
Úrady uviedli, že namiesto toho, aby šli po určitom sektore ekonomiky, sa útočníci jednoducho zamerali na zneužitie zraniteľnosti, kde to bolo možné, a po operácii sa potom pokúsili zmeniť tento počiatočný prístup na exfiltráciu údajov, ransomvér útok, alebo vydieranie.
V ten istý mesiac Microsoft uviedol, že útoky štátom podporovaných iránskych hackerov na firmy poskytujúce IT služby v roku 2020 prakticky neexistovali, ale v roku 2021 prekročil 1 500 potenciálnych útokov.
Súvisiace pokrytie
- Skontrolujte svoje SPF záznamy: Široké rozsahy IP rušia zabezpečenie e-mailov a vytvárajú chutné phishingy
- Fortinet: Kyberzločinci využívajú správy Omicron na distribúciu škodlivého softvéru RedLine
- EA potvrdilo, že desiatky vysokoprofilových účtov FIFA boli napadnuté hackermi
- Trójske kone so vzdialeným prístupom sa šíria cez Microsoft Azure, zneužívanie cloudových služieb AWS