Danny Palmer Senior Reporter
Danny Palmer er seniorreporter hos ZDNet. Baseret i London skriver han om problemer, herunder cybersikkerhed, hacking og malware-trusler.
Fuld bio den 25. februar 2022 | Emne: Sikkerhed 
Hackere knyttet til det iranske ministerium for efterretning og sikkerhed udnytter en række sårbarheder til at udføre cyberspionage og andre ondsindede angreb mod organisationer rundt om i verden, har en fælles advarsel fra amerikanske og britiske myndigheder advaret.
Rådgivningen fra Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), US Cyber Command Cyber National Mission Force (CNMF) og Storbritanniens National Cyber Security Center (NCSC) siger, at en iransk regering- sponsoreret avanceret hacking-operation kendt som MuddyWater går efter en bred vifte af mål.
Disse omfatter telekommunikation, forsvar, lokale myndigheder og olie- og naturgasorganisationer på tværs af Asien, Afrika, Europa og Nordamerika. Ifølge CISA er formålet med angrebene at få adgang til netværk for at stjæle adgangskoder og følsomme oplysninger “for at dele disse med andre ondsindede cyberaktører”.
SE: Cybersikkerhed: Lad os være taktiske (ZDNet-særrapport)
Gruppen er kendt for at udnytte offentligt rapporterede sårbarheder og bruge open source-værktøjer og strategier til at få adgang til følsomme data på ofrenes systemer og implementere ransomware , sagde agenturerne. MuddyWater – også kendt som Earth Vetala, Mercury, Static Kitten og Seedworm – har været aktiv siden mindst 2018.
Mange af kampagnerne udnytter phishing-angreb til at lokke mål til at downloade ZIP-filer, der indeholder Excel-filer med ondsindede makroer eller PDF'er, der slipper ondsindet nyttelast.
MuddyWater-kampagner implementerer mange forskellige former for malware til at fungere som indlæsere og bagdøre til kompromitterede netværk. Hovedindlæseren er en ny variant af PowGoop malware, som består af en DLL-indlæser og en PowerShell-baseret downloader. Den ondsindede fil efterligner en legitim fil, der er signeret som en eksekverbar Google Update-fil.
En anden form for malware brugt i angrebene er Small Sieve, en Python-bagdør, der skjuler ondsindede eksekverbare filer og bruger filnavne og registreringsnøglenavne forbundet med Microsofts Windows Defender for at undgå opdagelse, mens det hjælper med at udvide fodfæste i det kompromitterede netværk.
Anden malware brugt i de iranske kampagner omfatter Canopy, et ondsindet Windows-script distribueret af phishing-e-mails, og Mori, en bagdør, der bruger Domain Name System-tunneling til at kommunikere med gruppens kontrolinfrastruktur.
Agenturerne har også identificeret en ny PowerShell-bagdør beskrevet som let i funktionalitet, men i stand til at kryptere kommunikation med kommando- og kontrolservere.
De iranske hackere bruger en række kendte sårbarheder, som CISA har beskrevet i en advarsel. Derfor kan organisationer hjælpe med at beskytte deres netværk mod at blive kompromitteret ved at installere sikkerhedsopdateringer til operativsystemer, software og firmware, så snart de frigives. Det anbefales selvfølgelig også at bruge antivirus og holde det opdateret.
CISA anbefaler også brugen af multifaktorgodkendelse, når det er muligt, og begrænser brugen af administratorrettigheder for de fleste brugere – begge handlinger skaber yderligere barrierer for angribere.
Det anbefales også, at organisationer implementerer applikationskontrolsoftware for at begrænse de applikationer og eksekverbar kode, der kan køres af brugere. Endelig bør brugere trænes i at identificere og rapportere formodede phishing-angreb.
MERE OM CYBERSIKKERHED
Vil du booste din cybersikkerhed? Her er ti trin, du kan tage for at forbedre dit forsvar nuSikkerhedsadvarsel: Hackere bruger denne nye malware til at målrette mod firewall-apparaterUSA, Storbritannien og Australien pin Iran for at udnytte Fortinet og Exchange-hullerDisksletning af malware, phishing og spionage: Hvordan Irans cyberangrebsevner holder sigDisse iranske hackere udgav sig som akademikere i et forsøg på at stjæle e-mail-adgangskoder Sikkerheds-tv | Datastyring | CXO | Datacentre