Bộ chỉ huy mạng Hoa Kỳ liên kết Nhóm tấn công ‘MuddyWater’ với Tình báo Iran

Bộ chỉ huy mạng Hoa Kỳ

Bộ Tư lệnh Không gian mạng Hoa Kỳ (USCYBERCOM) hôm thứ Tư đã chính thức xác nhận mối quan hệ của MuddyWater với bộ máy tình báo Iran, đồng thời nêu chi tiết các công cụ và chiến thuật khác nhau mà kẻ gián điệp sử dụng để đào sâu vào mạng lưới nạn nhân.

“MuddyWater đã được nhìn thấy sử dụng nhiều kỹ thuật để duy trì quyền truy cập vào mạng nạn nhân”, Lực lượng Sứ mệnh Quốc gia Không gian mạng (CNMF) của USCYBERCOM cho biết trong một tuyên bố. “Chúng bao gồm các tệp DLL tải bên để lừa các chương trình hợp pháp chạy và làm xáo trộn tập lệnh PowerShell để ẩn các chức năng lệnh và điều khiển.”

Cơ quan này đã mô tả các nỗ lực hack là một yếu tố cấp dưới của Bộ Tình báo và An ninh Iran (MOIS), chứng thực các báo cáo trước đó về nguồn gốc của tổ chức quốc gia-nhà nước.

Cũng được theo dõi dưới các biệt danh Static Kitten, Seedworm, Mercury và TEMP.Zagros, MuddyWater được biết đến với các cuộc tấn công chủ yếu nhắm vào hàng loạt thực thể trong chính phủ, học viện, , viễn thông và các lĩnh vực dầu mỏ ở Trung Đông. Nhóm được cho là đã hoạt động ít nhất kể từ năm 2017.

Các cuộc xâm nhập gần đây của kẻ thù liên quan đến việc khai thác lỗ hổng ZeroLogon (CVE-2020-1472) cũng như tận dụng các công cụ quản lý máy tính để bàn từ xa như ScreenConnect và Remote Utilities để triển khai các backdoor tùy chỉnh có thể cho phép kẻ tấn công truy cập trái phép vào dữ liệu nhạy cảm.

Xem tiếp:   Vector tấn công cục bộ mới mở rộng bề mặt tấn công của lỗ hổng Log4j

Tháng trước, Nhóm Thợ săn Đe dọa của Symantec đã công khai các phát hiện về một làn sóng hoạt động hack mới do nhóm Muddywater mở ra chống lại một loạt các nhà khai thác viễn thông và các công ty CNTT trên khắp Trung Đông và châu Á trong sáu tháng trước đó bằng cách sử dụng hỗn hợp các công cụ hợp pháp, được công bố rộng rãi. phần mềm độc hại và các phương pháp sống-off-the-land (LotL).

Cũng được tích hợp vào bộ công cụ của nó là một có tên Mori và một phần mềm độc hại có tên là PowGoop, một trình tải DLL được thiết kế để giải mã và chạy một tập lệnh dựa trên PowerShell để thiết lập giao tiếp mạng với một máy chủ từ xa.

Các mẫu phần mềm độc hại được cho là do mối đe dọa liên tục nâng cao (APT) đã được cung cấp trên kho lưu trữ tổng hợp phần mềm độc hại VirusTotal, bạn có thể truy cập tại đây.

Nhà nghiên cứu Amitai Ben Shushan Ehrlich của SentinelOne cho biết: “Phân tích hoạt động của MuddyWater cho thấy nhóm tiếp tục phát triển và điều chỉnh các kỹ thuật của họ. “Trong khi vẫn dựa vào các công cụ bảo mật tấn công có sẵn công khai, nhóm đã cải tiến bộ công cụ tùy chỉnh của mình và sử dụng các kỹ thuật mới để tránh bị phát hiện.”

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / tấn công mạng Hơn một …