ABD Siber Komutanlığı (USCYBERCOM), İran destekli MuddyWatter hack grubunu İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) resmi olarak bağladı.
MOIS, İran hükümetinin önde gelen istihbarat teşkilatıdır ve ülkenin istihbarat ve karşı istihbaratının yanı sıra İslami rejimin İran sınırlarının ötesindeki hedeflerini destekleyen gizli eylemleri koordine etmekle görevlidir.
“Endüstride MuddyWater olarak bilinen bu aktörler, İran istihbarat faaliyetlerini yürüten grupların bir parçası ve kurban ağlarına erişimi sürdürmek için çeşitli teknikler kullandıkları görüldü.” USCYBERCOM dedi ki bugün.
“MuddyWater bir İran tehdit grubudur; daha önce endüstri, MuddyWater’ın öncelikle Orta Doğu ülkelerini hedef aldığını ve ayrıca Avrupa ve Kuzey Amerika ülkelerini de hedef aldığını bildirmişti. MuddyWater, İran İstihbarat ve Güvenlik Bakanlığı (MOIS) bünyesinde ikincil bir unsurdur.”
Siber casusluk grubu (aka tohum kurdu ve TEMP.Zagros) önceydi 2017’de görüldü ve ağırlıklı olarak Orta Doğu varlıklarını hedef alması ve cephaneliğini sürekli yükseltmesiyle bilinir.
Nispeten yeni olmasına rağmen, İran destekli APT grubu, Son derece aktif, ve telekomünikasyon, devlet (BT hizmetleri) ve petrol endüstrisi sektörlerini hedefliyor.
MuddyWater’ın hükümete ve savunmaya yönelik saldırılarını genişlettiği de gözlemlendi.
arasında işbirliği #FBI ve @CNMF_CyberAlert Ulusal Siber Araştırma Müşterek Görev Gücü (NCIJTF) aracılığıyla ağ güvenlik ihlallerini tespit etmek, bilgisayar izinsiz girişlerini azaltmak ve İran’ın kötü niyetli siber faaliyetlerini önlemek için anahtardır. #CyberIsATeamSport https://t.co/Y7QsTgHHZb
– FBI (778899fbi) 12 Ocak 2022
USCYBERCOM, FBI ile işbirliği içinde ayrıca paylaştı İran korsan grubunun operatörleri tarafından casusluk ve kötü niyetli faaliyetlerde kullanılan birden fazla kötü amaçlı yazılım örneği.
Örnekler, PowerShell tabanlı bir kötü amaçlı yazılım indiricisinin şifresini çözmek ve çalıştırmak için tasarlanmış bir DLL yükleyici olan PowGoop’un birden çok çeşidini içerir.
PowGoop yükleyici kullanılarak güvenliği ihlal edilen cihazlara dağıtılan JavaScript örnekleri ve DNS tünelleme iletişim özelliklerine sahip ve casusluk kampanyalarında kullanılan bir Mori arka kapı örneği de bugün VirusTotal’da paylaşıldı.
ABD askeri komutanlığı, “Bu araçların bir kombinasyonunu görürseniz, İranlı MOIS aktörü MuddyWater ağınızda olabilir. MuddyWater’ın kurban ağlarına erişimi sürdürmek için çeşitli teknikler kullandığı görüldü” dedi. katma.
“Bunlar, meşru programları kötü amaçlı yazılım çalıştırmaya kandırmak ve komut ve kontrol işlevlerini gizlemek için PowerShell betiklerini şaşırtmak için yandan yüklenen DLL’leri içerir.”