Iran’s MuddyWater Hacker Group gebruikt nieuwe malware bij wereldwijde cyberaanvallen

Iraanse MuddyWater Hacker Group Nachrichten

Cyberbeveiligingsinstanties uit het VK en de VS hebben nieuwe malware blootgelegd die wordt gebruikt door de door de Iraanse regering gesponsorde Advanced Persistent Threat (APT)-groep bij aanvallen gericht op overheids- en commerciële netwerken over de hele wereld.

„Acteurs van MuddyWater zijn gepositioneerd om zowel gestolen gegevens en toegangen aan de Iraanse regering te verstrekken als om deze te delen met andere kwaadwillende cyberactoren“, aldus de agentschappen. zei.

Het gezamenlijke advies komt met dank aan het Federal Bureau of Investigation (FBI), de Cybersecurity and Infrastructure Security Agency (CISA), de US Cyber ​​Command Cyber ​​National Mission Force (CNMF) en het Britse National Cyber ​​Security Centre (NCSC).

De cyberspionageacteur werd dit jaar ontmaskerd omdat hij kwaadwillende operaties uitvoerde als onderdeel van het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS) gericht op een breed scala van overheids- en particuliere organisaties, waaronder telecommunicatie-, defensie-, lokale overheden en olie- en aardgassectoren, in Azië, Afrika, Europa en Noord-Amerika.

MuddyWater wordt ook gevolgd door de bredere cyberbeveiligingsgemeenschap onder de namen Earth Vetala, MERCURY, Static Kitten, Seedworm en TEMP.Zagros, met de groep die sinds ongeveer 2018 bekend staat om cyberoffensieven ter ondersteuning van MOIS-doelstellingen.

Naast het exploiteren van openbaar gemelde kwetsbaarheden, is de groep in het verleden waargenomen met behulp van open-sourcetools om toegang te krijgen tot gevoelige gegevens, ransomware te implementeren en persistentie op slachtoffernetwerken te bereiken.

Een vervolgonderzoek door Cisco Talos eind vorige maand bracht ook een voorheen ongedocumenteerde malwarecampagne aan het licht die gericht was op Turkse particuliere organisaties en overheidsinstellingen met als doel een op PowerShell gebaseerde achterdeur in te zetten.

De nieuwe activiteiten die door de inlichtingendiensten zijn ontmaskerd, zijn niet anders, omdat ze gebruik maken van versluierde PowerShell-scripts om de meest schadelijke delen van de aanvallen te verbergen, inclusief command-and-control (C2)-functies.

De inbraken worden mogelijk gemaakt via een spear-phishing-campagne die probeert zijn doelen over te halen om verdachte ZIP-archieven te downloaden die ofwel een Excel-bestand bevatten met een kwaadaardige macro die communiceert met de C2-server van de acteur of een pdf-bestand dat een kwaadaardige payload naar de geïnfecteerde stuurt. systeem.

„Bovendien gebruikt de groep meerdere malwaresets – waaronder PowGoop, Small Sieve, Canopy/Starwhale, Mori en POWERSTATS – voor het laden van malware, achterdeurtoegang, persistentie en exfiltratie“, aldus FBI, CISA, CNMF en NCSC.

Terwijl PowGoop functioneert als een loader die verantwoordelijk is voor het downloaden van PowerShell-scripts in de tweede fase, wordt Small Sieve beschreven als een op Python gebaseerd implantaat dat wordt gebruikt om voet aan de grond te houden in het netwerk door gebruik te maken van de Telegram API voor C2-communicatie om detectie te omzeilen.

Andere belangrijke stukjes malware zijn Canopy, een Windows Script File (.WSF) dat wordt gebruikt om metadata van het systeem te verzamelen en te verzenden naar een door de tegenstander gecontroleerd IP-adres, en twee achterdeuren, Mori en POWERSTATS genaamd, die worden gebruikt om de van de C2 ontvangen opdrachten uit te voeren en te onderhouden. blijvende toegang.

Bovendien heeft MuddyWater een onderzoeksscript gebruikt om informatie over slachtoffercomputers op te sommen, die vervolgens wordt teruggestuurd naar de externe C2-server. Er is ook een nieuw geïdentificeerde PowerShell-achterdeur geïmplementeerd die wordt gebruikt om opdrachten uit te voeren die zijn ontvangen van de aanvaller.

Om barrières op te werpen voor mogelijke aanvallen, raden de bureaus organisaties aan om waar van toepassing multi-factor authenticatie te gebruiken, het gebruik van beheerdersrechten te beperken, phishing-beveiligingen te implementeren en prioriteit te geven aan het patchen van bekende misbruikte kwetsbaarheden.

David
Rate author
Hackarizona