ABD ve Birleşik Krallık siber güvenlik ve kolluk kuvvetleri bugün, İran destekli MuddyWatter hack grubu tarafından dünya çapında kritik altyapıları hedef alan saldırılarda kullanılan yeni kötü amaçlı yazılımlar hakkında bilgi paylaştı.
Bu, bugün CISA, Federal Soruşturma Bürosu (FBI), ABD Siber Komutanlığı Siber Ulusal Görev Gücü (CNMF), Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC-UK) ve Ulusal Güvenlik Ajansı tarafından yayınlanan ortak bir tavsiyede açıklandı ( NSA).
MuddyWater, “Asya, Afrika, Avrupa ve Kuzey Amerika’da telekomünikasyon, savunma, yerel yönetim ve petrol ve doğal gaz dahil olmak üzere sektörlerde çeşitli hükümet ve özel sektör kuruluşlarını hedefliyor”, iki hükümet dedim.
Bu tehdit grubu, güvenliği ihlal edilmiş sistemlerde ikinci aşama kötü amaçlı yazılımları dağıtmak, arka kapı erişimi, kalıcılığı korumak ve veri hırsızlığı için PowGoop, Canopy/Starwhale, Mori, POWERSTATS ve daha önce bilinmeyenler dahil olmak üzere birden çok kötü amaçlı yazılım türü kullanır.
ABD ve Birleşik Krallık ajansları, bugün ayrıntıları verilen kötü amaçlı yazılımlar arasında MuddyWater operatörleri tarafından kalıcılık için kullanılan yeni bir Python arka kapısı (Küçük Elek olarak adlandırılır) ve komut ve kontrol (C2) iletişim kanallarını şifrelemek için kullanılan bir PowerShell arka kapısı öne çıktı.
“Small Sieve, Telegram Bot uygulama programlama arabirimi (API) ile birlikte özel dize ve trafik gizleme şemalarını kullanarak kurban altyapısında bir dayanağı korumak ve genişletmek ve algılamayı önlemek için gereken temel işlevleri sağlar.” danışma okur.
“Özellikle, Küçük Elek’in işaretleri ve görevleri, Güvenli Köprü Metni Aktarım Protokolü (HTTPS) üzerinden Telegram API kullanılarak gerçekleştirilir ve görevlendirme ve işaret verme verileri, karmaşık bir Base64 işleviyle birleştirilmiş bir onaltılık bayt takas kodlama şeması aracılığıyla gizlenir.”
İran istihbarat teşkilatı hackerları
MuddyWatter siber casusluk grubu (diğer adıyla Earth Vetala, MERCURY, Static Kitten, Seedworm ve TEMP.Zagros) aktif oldu en az 2017’den beri. Saldırılarını Orta Doğu varlıklarına odaklaması ve kötü amaçlı yazılım araç setini sürekli olarak yükseltmesiyle bilinir.
Nispeten yeni olmasına rağmen, İran destekli tehdit grubu çok etkinve telekomünikasyon, devlet (BT hizmetleri) ve petrol endüstrisi kuruluşlarını hedefler.
Ayrıca, Orta ve Güneybatı Asya’daki hükümet ve savunma birimlerinin yanı sıra Kuzey Amerika, Avrupa ve Asya’dan özel ve kamu kuruluşlarına yönelik saldırıları da genişletti. [1, 2, 3].
Ocak 2022’de MuddyWatter, ABD Siber Komutanlığı (USCYBERCOM) tarafından ülkenin önde gelen devlet istihbarat teşkilatı olan İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) resmi olarak bağlandı.
Bugünkü uyarı, Çarşamba günü yayınlanan ve Cyclops Blink adlı yeni kötü amaçlı yazılımın Rus destekli Sandworm hack grubuna atfedilen benzer bir uyarıyı takip ediyor.
Sandworm operatörleri, savunmasız WatchGuard Firebox ve diğer Küçük Ofis/Ev Ofisi (SOHO) ağ cihazlarını tuzağa düşürerek VPNFilter’ın yerini alan yeni bir botnet oluşturmak için en az Haziran 2019’dan beri Cyclops Blink’i kullanıyor.