ABD Siber Komutanlığı (USCYBERCOM) Çarşamba günü, MuddyWater’ın İran istihbarat aygıtıyla olan bağlarını resmi olarak doğrularken, aynı anda casus aktör tarafından kurban ağlarına girmek için kullanılan çeşitli araç ve taktikleri detaylandırdı.
USCYBERCOM’un Siber Ulusal Görev Gücü (CNMF) “MuddyWater’ın kurban ağlarına erişimi sürdürmek için çeşitli teknikler kullandığı görüldü.” söz konusu Bir açıklamada. “Bunlar yandan yüklemeyi içerir DLL’ler meşru programları kandırmak için kötü amaçlı yazılım çalıştırmaya ve komut ve kontrol işlevlerini gizlemek için PowerShell komut dosyalarını şaşırtmaya.”
Ajans, hack çabalarını İran İstihbarat ve Güvenlik Bakanlığı (MOIS) içinde ikincil bir unsur olarak nitelendirerek, ulus-devlet aktörünün menşei hakkında daha önceki raporları doğruladı.
Ayrıca Static Kitten, Seedworm, Mercury ve TEMP.Zagros takma adları altında izlenir, Çamurlu su onun için bilinir saldırılar öncelikle Orta Doğu’daki hükümetler, akademi, kripto para birimi, telekomünikasyon ve petrol sektörlerindeki geniş bir kuruluş yelpazesine yöneliktir. Grubun olduğuna inanılıyor aktif en azından 2017’den beri.
Saldırgan tarafından yapılan son izinsiz girişler, ZeroLogon (CVE-2020-1472) güvenlik açığından yararlanmanın yanı sıra, saldırganların hassas verilere yetkisiz erişim elde etmelerini sağlayabilecek özel arka kapıları dağıtmak için ScreenConnect ve Remote Utilities gibi uzak masaüstü yönetim araçlarından yararlanmayı içeriyordu.
Geçen ay, Symantec’in Tehdit Avcısı Ekibi halka açık bulgular Muddywater grubu tarafından Orta Doğu ve Asya’daki bir dizi telekom operatörüne ve BT şirketine karşı meşru araçlar, kamuya açık kötü amaçlı yazılımlar ve yaşam dışı yaşamdan oluşan bir karışımı kullanarak son altı ay boyunca serbest bırakılan yeni bir bilgisayar korsanlığı faaliyetleri dalgası hakkında. Kara (LotL) yöntemler.
Araç setine ayrıca Mori adlı bir arka kapı ve uzak bir sunucuyla ağ iletişimi kuran PowerShell tabanlı bir komut dosyasının şifresini çözmek ve çalıştırmak için tasarlanmış bir DLL yükleyici olan PowGoop adlı bir kötü amaçlı yazılım parçası dahildir.
Gelişmiş kalıcı tehdide (APT) atfedilen kötü amaçlı yazılım örnekleri, erişilebilen VirusTotal kötü amaçlı yazılım toplama havuzunda kullanıma sunuldu burada.
SentinelOne araştırmacısı Amitai Ben Shushan Ehrlich, “MuddyWater etkinliğinin analizi, grubun gelişmeye ve tekniklerini uyarlamaya devam ettiğini gösteriyor.” söz konusu. “Grup, halka açık saldırgan güvenlik araçlarına güvenmeye devam ederken, özel araç setini geliştiriyor ve algılanmayı önlemek için yeni teknikler kullanıyor.”
.
siber-2