Bộ chỉ huy mạng Hoa Kỳ

Bộ Tư lệnh Không gian mạng Hoa Kỳ (USCYBERCOM) hôm thứ Tư đã chính thức xác nhận mối quan hệ của MuddyWater với bộ máy tình báo Iran, đồng thời nêu chi tiết các công cụ và chiến thuật khác nhau mà kẻ gián điệp áp dụng để đào sâu vào mạng lưới nạn nhân.

“MuddyWater đã được nhìn thấy sử dụng nhiều kỹ thuật để duy trì quyền truy cập vào mạng nạn nhân”, Lực lượng Sứ mệnh Quốc gia Không gian mạng của USCYBERCOM (CNMF) nói trong một tuyên bố. “Chúng bao gồm tải bên DLL để lừa các chương trình hợp pháp chạy phần mềm độc hại và làm xáo trộn tập lệnh PowerShell để ẩn các chức năng lệnh và điều khiển. “

Sao lưu GitHub tự động

Cơ quan này đã mô tả các nỗ lực hack là một yếu tố cấp dưới của Bộ Tình báo và An ninh Iran (MOIS), chứng thực các báo cáo trước đó về nguồn gốc của tổ chức quốc gia-nhà nước.

Cũng được theo dõi dưới các biệt danh Mèo con tĩnh, Sâu hạt, Thủy ngân và TEMP.Zagros, Nước bùn được biết đến vì nó các cuộc tấn công chủ yếu chống lại nhiều đối tượng trong các chính phủ, học viện, tiền điện tử, viễn thông và dầu mỏ ở Trung Đông. Nhóm được cho là đã tích cực ít nhất kể từ năm 2017.

Các cuộc xâm nhập gần đây của kẻ thù liên quan đến việc khai thác lỗ hổng ZeroLogon (CVE-2020-1472) cũng như tận dụng các công cụ quản lý máy tính để bàn từ xa như ScreenConnectTiện ích từ xa triển khai các cửa hậu tùy chỉnh có thể cho phép những kẻ tấn công truy cập trái phép vào dữ liệu nhạy cảm.

Ngăn chặn vi phạm dữ liệu

Tháng trước, Nhóm Thợ săn Đe doạ của Symantec những phát hiện công khai về một làn sóng hoạt động tấn công mới do nhóm Muddywater mở ra chống lại một loạt các nhà khai thác viễn thông và các công ty CNTT trên khắp Trung Đông và Châu Á trong sáu tháng trước đó bằng cách sử dụng hỗn hợp các công cụ hợp pháp, phần mềm độc hại công khai và sống-off-the- đất (LotL) các phương pháp.

Cũng được tích hợp vào bộ công cụ của nó là một cửa sau có tên Mori và một phần mềm độc hại có tên là PowGoop, một trình tải DLL được thiết kế để giải mã và chạy một tập lệnh dựa trên PowerShell để thiết lập giao tiếp mạng với một máy chủ từ xa.

Các mẫu phần mềm độc hại được cho là do mối đe dọa liên tục nâng cao (APT) đã được cung cấp trên kho lưu trữ tổng hợp phần mềm độc hại VirusTotal, bạn có thể truy cập vào kho lưu trữ này nơi đây.

Nhà nghiên cứu Amitai Ben Shushan Ehrlich của SentinelOne: “Phân tích hoạt động của MuddyWater cho thấy nhóm tiếp tục phát triển và điều chỉnh các kỹ thuật của họ. nói. “Trong khi vẫn dựa vào các công cụ bảo mật tấn công có sẵn công khai, nhóm đã cải tiến bộ công cụ tùy chỉnh của mình và sử dụng các kỹ thuật mới để tránh bị phát hiện.”





Source link

Leave a Reply

Your email address will not be published