Chris startet sitt journalistiske eventyr i 2006 som redaktør for Builder AU etter at han opprinnelig begynte i CBS som programmerer. Etter et kanadisk opphold kom han tilbake i 2011 som redaktør for TechRepublic Australia, og er nå australsk redaktør for ZDNet.
Full bio 13. januar 2022 | Emne: Sikkerhet
“MOIS-hackergruppen MuddyWater bruker åpen kildekodekode. for malware,” sa det.
“MuddyWater og andre iranske MOIS APT-er bruker DNS-tunnelering for å kommunisere til C2-infrastrukturen sin; hvis du ser dette på nettverket ditt, se etter mistenkelig utgående trafikk.”
Sammen med varselet ble MuddyWater-malwareprøver lastet opp til VirusTotal, inkludert PowGoop DDL-sidelasteren og Mori-bakdøren som bruker DNS-tunneling.
“Goopdate.dll bruker DLL-sidelasting for å kjøre når en ikke-ondsinnet kjørbar GoogleUpdate.exe kjøres. goopdate.dll vil deretter de-obfuscate goopdate.dat, som er et PowerShell-skript som brukes til å de-obfuscate og kjøre config. txt,” sa Cyber Command mens den beskrev en forekomst av hvordan PowGoop fungerer.
“Config.txt er et PowerShell-skript som etablerer nettverkskommunikasjon med PowGoop C2-serveren. Det bruker en modifisert base64-kodingsmekanisme for å sende data til og fra C2-serveren. IP-en til C2-serveren er ofte hardkodet i config.txt.”
I november tilskrev cybermyndigheter over hele USA, Storbritannia og Australia angrep som utnyttet hull i Fortinet og Exchanges til iransk-støttede angripere.
“FBI og CISA har observert denne iranske regjeringssponsede APT-gruppen utnytte Fortinet-sårbarheter siden minst mars 2021, og en Microsoft Exchange ProxyShell-sårbarhet siden minst oktober 2021 for å få førstegangstilgang til systemer i forkant av oppfølgingsoperasjoner, som inkluderer distribusjon løsepengeprogram, heter det i en felles utgivelse.
“ACSC er også klar over at denne APT-gruppen har brukt den samme Microsoft Exchange-sårbarheten i Australia.”
I stedet for å gå etter en bestemt sektor av økonomien, sa myndighetene at angriperne ganske enkelt var fokusert på å utnytte sårbarhetene der det var mulig, og etter operasjonen forsøkte de deretter å gjøre den første tilgangen til dataeksfiltrering, en løsepengevareangrep eller utpressing.
Samme måned sa Microsoft at angrep fra statsstøttede iranske hackere på IT-tjenestefirmaer var praktisk talt ikke-eksisterende i 2020, men i 2021 oversteg 1500 potensielle angrep.
Relatert dekning
Sjekk SPF-postene dine: Brede IP-områder angrer e-postsikkerhet og sørger for smakfulle phishesFortinet: Nettkriminelle utnytter Omicron-nyheter for å distribuere RedLine malwareEA bekrefter at dusinvis av høyprofilerte FIFA-kontoer er hacket Fjerntilgangstrojanere spredt gjennom Microsoft Azure, misbruk av skytjenester fra AWS Regjeringen – USA | Sikkerhets-TV | Databehandling | CXO | Datasentre