Skrivet av Chris Duckett, APAC-redaktör 
Chris började sitt journalistiska äventyr 2006 som redaktör för Builder AU efter att ha börjat med CBS som programmerare. Efter en kanadensisk vistelse återvände han 2011 som redaktör för TechRepublic Australia och är nu australiensisk redaktör för ZDNet.
Fullständig bio den 13 januari 2022 | Ämne: Säkerhet
USA:s cyberkommando sa på onsdagen att hackningsgruppen MuddyWater är kopplad till iransk underrättelsetjänst.
“MuddyWater är en iransk hotgrupp; tidigare har industrin rapporterat att MuddyWater i första hand har riktat sig mot länder i Mellanöstern, och har även riktat sig mot europeiska och nordamerikanska nationer”, säger Cyber Command i ett meddelande.
“MuddyWater är ett underordnat element inom det iranska ministeriet för underrättelser och säkerhet (MOIS).”
På Twitter sa Cyber Command att MuddyWater använde en uppsättning skadlig programvara för spionage och skadlig aktivitet, med tillskrivning från FBI National Cyber Investigative Joint Task Force.
“MOIS-hackergruppen MuddyWater använder öppen källkod. för skadlig programvara”, stod det.
“MuddyWater och andra iranska MOIS APT:er använder DNS-tunnling för att kommunicera till sin C2-infrastruktur; om du ser detta på ditt nätverk, leta efter misstänkt utgående trafik.”
På sidan av meddelandet laddades MuddyWater malware-prover upp till VirusTotal, inklusive PowGoop DDL-sidoladdaren och Mori backdoor som använder DNS-tunnling.
“Goopdate.dll använder DLL-sidoladdning för att köras när en icke-skadlig körbar GoogleUpdate.exe körs. goopdate.dll kommer sedan att de-obfuscate goopdate.dat, som är ett PowerShell-skript som används för att de-obfuscate och köra konfiguration. txt,” sa Cyber Command när det detaljerade ett exempel på hur PowGoop fungerar.
“Config.txt är ett PowerShell-skript som upprättar nätverkskommunikation med PowGoop C2-servern. Det använder en modifierad base64-kodningsmekanism för att skicka data till och från C2-servern. IP-adressen för C2-servern är ofta hårdkodad i config.txt.”
I november tillskrev cybermyndigheter i USA, Storbritannien och Australien attacker som utnyttjade hål i Fortinet och Exchanges till iranskstödda angripare.
“FBI och CISA har observerat denna iranska regeringssponsrade APT-grupp utnyttja Fortinet-sårbarheter sedan åtminstone mars 2021, och en Microsoft Exchange ProxyShell-sårbarhet sedan åtminstone oktober 2021 för att få initial åtkomst till system innan efterföljande operationer, som inkluderar implementering ransomware”, står det i en gemensam release.
“ACSC är också medveten om att denna APT-grupp har använt samma Microsoft Exchange-sårbarhet i Australien.”
Istället för att gå efter en viss sektor av ekonomin, sa myndigheterna att angriparna helt enkelt var fokuserade på att utnyttja sårbarheterna där det var möjligt och efter operationen försökte de sedan förvandla den första åtkomsten till dataexfiltrering, en ransomware attack eller utpressning.
Samma månad sa Microsoft att attacker från statligt sponsrade iranska hackare på IT-tjänsteföretag var praktiskt taget obefintliga 2020, men 2021 översteg 1 500 potentiella attacker.
Relaterad täckning
Kontrollera dina SPF-poster: Breda IP-intervall ångrar e-postsäkerhet och skapar läckra nätfiskeFortinet: Cyberkriminella utnyttjar Omicron-nyheter för att distribuera RedLine malwareEA bekräftar dussintals högprofilerade FIFA-konton hackade Fjärråtkomsttrojaner sprids via Microsoft Azure, AWS molntjänstmissbruk Regering – USA | Säkerhets-TV | Datahantering | CXO | Datacenter