Skrevet af Chris Duckett, APAC-redaktør 
Chris startede sit journalistiske eventyr i 2006 som redaktør for Builder AU, efter han oprindeligt kom til CBS som programmør. Efter et ophold i Canada vendte han tilbage i 2011 som redaktør for TechRepublic Australia og er nu australsk redaktør for ZDNet.
Fuld bio den 13. januar 2022 | Emne: Sikkerhed
United States Cyber Command sagde onsdag, at hackergruppen kendt som MuddyWater er forbundet med iransk efterretningstjeneste.
“MuddyWater er en iransk trusselgruppe; tidligere har industrien rapporteret, at MuddyWater primært har rettet mod mellemøstlige nationer og også har rettet mod europæiske og nordamerikanske nationer,” sagde Cyber Command i en meddelelse.
“MuddyWater er et underordnet element i det iranske ministerium for efterretning og sikkerhed (MOIS).”
På Twitter sagde Cyber Command, at MuddyWater brugte en række malware til spionage og ondsindet aktivitet, med tilskrivning leveret af FBI National Cyber Investigative Joint Task Force.
“MOIS-hackergruppen MuddyWater bruger open source-kode for malware,” stod der.
“MuddyWater og andre iranske MOIS APT'er bruger DNS-tunneling til at kommunikere til sin C2-infrastruktur; hvis du ser dette på dit netværk, skal du kigge efter mistænkelig udgående trafik.”
Sammen med sin meddelelse blev MuddyWater malware-prøver uploadet til VirusTotal, inklusive PowGoop DDL sideloader og Mori backdoor, der bruger DNS-tunneling.
“Goopdate.dll bruger DLL-sideindlæsning til at køre, når den ikke-ondsindede eksekverbare GoogleUpdate.exe køres. goopdate.dll vil derefter de-obfuscate goopdate.dat, som er et PowerShell-script, der bruges til at de-obfuscate og køre config. txt,” sagde Cyber Command, da det detaljerede et eksempel på, hvordan PowGoop fungerer.
“Config.txt er et PowerShell-script, der etablerer netværkskommunikation med PowGoop C2-serveren. Det bruger en modificeret base64-kodningsmekanisme til at sende data til og fra C2-serveren. C2-serverens IP-adresse er ofte hardkodet i config.txt.”
I november tilskrev cybermyndigheder i USA, Storbritannien og Australien angreb, der udnyttede huller i Fortinet og Exchanges, til iransk-støttede angribere.
“FBI og CISA har observeret denne iranske regeringssponserede APT-gruppe udnytte Fortinet-sårbarheder siden mindst marts 2021 og en Microsoft Exchange ProxyShell-sårbarhed siden mindst oktober 2021 for at få indledende adgang til systemer forud for opfølgende operationer, som inkluderer implementering ransomware,” hedder det i en fælles udgivelse.
“ACSC er også klar over, at denne APT-gruppe har brugt den samme Microsoft Exchange-sårbarhed i Australien.”
I stedet for at gå efter en bestemt sektor af økonomien sagde myndighederne, at angriberne simpelthen var fokuseret på at udnytte sårbarhederne, hvor det var muligt, og efter operationen forsøgte de derefter at omdanne den første adgang til dataeksfiltrering, en ransomware-angreb eller afpresning.
Samme måned sagde Microsoft, at angreb fra statssponserede iranske hackere på it-servicevirksomheder var praktisk talt ikke-eksisterende i 2020, men i 2021 oversteg 1.500 potentielle angreb.
Relateret dækning
Tjek dine SPF-registreringer: Brede IP-områder fortryder e-mail-sikkerhed og sørger for velsmagende phishesFortinet: Cyberkriminelle udnytter Omicron-nyheder til at distribuere RedLine-malwareEA bekræfter snesevis af højprofilerede FIFA-konti hackede fjernadgangstrojanske heste spredt gennem Microsoft Azure, AWS cloud service misbrug Regeringen – USA | Sikkerheds-tv | Datastyring | CXO | Datacentre