El comando cibernético de EE. UU. Vincula al grupo de piratería ‘MuddyWater’ con la inteligencia iraní

Comando cibernético de EE. UU. Noticias

El Comando Cibernético de EE. UU. (USCYBERCOM) confirmó oficialmente el miércoles los vínculos de MuddyWater con el aparato de inteligencia iraní, al mismo tiempo que detalla las diversas herramientas y tácticas adoptadas por el actor de espionaje para infiltrarse en las redes de las víctimas.

«Se ha visto a MuddyWater usando una variedad de técnicas para mantener el acceso a las redes de las víctimas», dijo la Cyber ​​National Mission Force (CNMF) de USCYBERCOM. dicho en una oracion. «Estos incluyen carga lateral DLL para engañar a los programas legítimos para que ejecuten malware y ofusquen los scripts de PowerShell para ocultar las funciones de comando y control».

La agencia caracterizó los esfuerzos de piratería como un elemento subordinado dentro del Ministerio de Inteligencia y Seguridad de Irán (MOIS), corroborando informes anteriores sobre la procedencia del actor del estado-nación.

También rastreado bajo los apodos de Static Kitten, Seedworm, Mercury y TEMP.Zagros, MuddyAgua es conocido por su ataques dirigido principalmente contra una amplia gama de entidades en los sectores gubernamentales, académicos, de criptomonedas, de telecomunicaciones y petroleros en el Medio Oriente. Se cree que el grupo fue activo por lo menos desde 2017.

Las intrusiones recientes montadas por el adversario han involucrado la explotación de la vulnerabilidad ZeroLogon (CVE-2020-1472), así como el aprovechamiento de herramientas de administración de escritorio remoto como ScreenConnect y Remote Utilities para implementar puertas traseras personalizadas que podrían permitir a los atacantes obtener acceso no autorizado a datos confidenciales.

El mes pasado, el equipo Threat Hunter de Symantec hallazgos publicitados sobre una nueva ola de actividades de piratería desatadas por el grupo Muddywater contra una serie de operadores de telecomunicaciones y empresas de TI en todo el Medio Oriente y Asia durante los seis meses anteriores utilizando una combinación de herramientas legítimas, malware disponible públicamente y viviendo fuera de la red. tierra (LoteL) métodos.

También se incorpora a su conjunto de herramientas una puerta trasera llamada Mori y una pieza de malware llamada PowGoop, un cargador de DLL diseñado para descifrar y ejecutar un script basado en PowerShell que establece comunicaciones de red con un servidor remoto.

Las muestras de malware atribuidas a la amenaza persistente avanzada (APT) están disponibles en el repositorio de agregación de malware VirusTotal, al que se puede acceder aquí.

«El análisis de la actividad de MuddyWater sugiere que el grupo continúa evolucionando y adaptando sus técnicas», dijo el investigador de SentinelOne, Amitai Ben Shushan Ehrlich. dicho. «Aunque todavía se basa en herramientas de seguridad ofensivas disponibles públicamente, el grupo ha estado refinando su conjunto de herramientas personalizadas y utilizando nuevas técnicas para evitar la detección».

David
Rate author
Hackarizona