Các cơ quan an ninh mạng từ Anh và Mỹ đã phát hiện ra một phần mềm độc hại mới được sử dụng bởi nhóm mối đe dọa liên tục nâng cao (APT) do chính phủ Iran tài trợ trong các cuộc tấn công nhắm vào các mạng chính phủ và thương mại trên toàn thế giới.
Các cơ quan cho biết: “Các tác nhân MuddyWater được định vị để cung cấp dữ liệu và quyền truy cập bị đánh cắp cho chính phủ Iran và chia sẻ những dữ liệu này với các tác nhân mạng độc hại khác”.
Cố vấn chung được sự cho phép của Cục Điều tra Liên bang (FBI), Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), Lực lượng Nhiệm vụ Quốc gia Không gian mạng của Bộ Chỉ huy Mạng Hoa Kỳ (CNMF) và Trung tâm An ninh Mạng Quốc gia của Vương quốc Anh (NCSC).
Kẻ gián điệp mạng đã bị loại trong năm nay vì tiến hành các hoạt động độc hại trong khuôn khổ Bộ Tình báo và An ninh Iran (MOIS) nhằm vào một loạt các tổ chức chính phủ và khu vực tư nhân, bao gồm viễn thông, quốc phòng, chính quyền địa phương và các lĩnh vực dầu khí tự nhiên, ở Châu Á, Châu Phi, châu Âu và Bắc Mỹ.
MuddyWater cũng được theo dõi bởi cộng đồng an ninh mạng rộng lớn hơn với các tên Earth Vetala, MERCURY, Static Kitten, Seedworm và TEMP.Zagros, với nhóm nổi tiếng với các hành vi tấn công mạng nhằm hỗ trợ các mục tiêu của MOIS kể từ khoảng năm 2018.
Bên cạnh việc khai thác các lỗ hổng được báo cáo công khai, nhóm này đã được quan sát trong lịch sử sử dụng các công cụ mã nguồn mở để truy cập vào dữ liệu nhạy cảm, triển khai ransomware và đạt được sự bền bỉ trên mạng nạn nhân.
Một cuộc điều tra tiếp theo của Cisco Talos vào cuối tháng trước cũng đã phát hiện ra một chiến dịch phần mềm độc hại không có giấy tờ trước đây nhằm vào các tổ chức tư nhân và cơ quan chính phủ của Thổ Nhĩ Kỳ với mục tiêu triển khai một cửa hậu dựa trên PowerShell.
Các hoạt động mới được cơ quan tình báo vạch mặt không khác ở chỗ chúng sử dụng các tập lệnh PowerShell bị xáo trộn để che giấu những phần gây hại nhất của các cuộc tấn công, bao gồm cả các chức năng lệnh và kiểm soát (C2).
Các cuộc xâm nhập được tạo điều kiện thông qua một chiến dịch lừa đảo trực tuyến cố gắng dụ các mục tiêu của nó tải xuống các tệp lưu trữ ZIP đáng ngờ có chứa tệp Excel với macro độc hại giao tiếp với máy chủ C2 của tác nhân hoặc tệp PDF làm giảm tải trọng độc hại cho người bị nhiễm. hệ thống.
“Ngoài ra, nhóm sử dụng nhiều bộ phần mềm độc hại – bao gồm PowGoop, Small Sieve, Canopy / Starwhale, Mori và POWERSTATS – để tải phần mềm độc hại, truy cập cửa sau, tính bền bỉ và bộ lọc”, FBI, CISA, CNMF và NCSC cho biết.
Trong khi PowGoop hoạt động như một bộ tải chịu trách nhiệm tải xuống các tập lệnh PowerShell giai đoạn hai, Small Sieve được mô tả như một bộ cấy dựa trên Python được sử dụng để duy trì chỗ đứng trong mạng bằng cách tận dụng API Telegram cho các giao tiếp C2 để tránh bị phát hiện.
Các phần mềm độc hại quan trọng khác là Canopy, một tệp Windows Script (.WSF) được sử dụng để thu thập và truyền siêu dữ liệu hệ thống tới địa chỉ IP do đối thủ kiểm soát và hai cửa hậu có tên Mori và POWERSTATS được sử dụng để chạy các lệnh nhận được từ C2 và duy trì truy cập liên tục.
Trên hết, MuddyWater đã sử dụng một tập lệnh khảo sát để liệt kê thông tin về máy tính nạn nhân, sau đó được gửi trở lại máy chủ C2 từ xa. Cũng được triển khai là một cửa hậu PowerShell mới được xác định được sử dụng để thực thi các lệnh nhận được từ kẻ tấn công.
Để tạo ra rào cản đối với các cuộc tấn công tiềm ẩn, các cơ quan đang khuyến nghị các tổ chức sử dụng xác thực đa yếu tố nếu có thể, hạn chế việc sử dụng đặc quyền của quản trị viên, triển khai các biện pháp bảo vệ chống lừa đảo và ưu tiên vá các lỗ hổng đã biết đã bị khai thác.
.
