Las agencias de ciberseguridad del Reino Unido y los EE. UU. han puesto al descubierto un nuevo malware utilizado por el grupo de amenazas persistentes avanzadas (APT) patrocinado por el gobierno iraní en ataques dirigidos a redes gubernamentales y comerciales en todo el mundo.
«Los actores de MuddyWater están posicionados tanto para proporcionar datos robados y accesos al gobierno iraní como para compartirlos con otros ciberactores maliciosos», dijeron las agencias. dijo.
El aviso conjunto es cortesía de la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Fuerza de Misión Nacional Cibernética del Comando Cibernético de EE. UU. (CNMF) y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido.
El actor de ciberespionaje fue descubierto este año por realizar operaciones maliciosas como parte del Ministerio de Inteligencia y Seguridad de Irán (MOIS) dirigidas a una amplia gama de organizaciones gubernamentales y del sector privado, incluidos los sectores de telecomunicaciones, defensa, gobierno local y petróleo y gas natural. en Asia, África, Europa y América del Norte.
MuddyWater también es rastreado por la comunidad de seguridad cibernética más amplia bajo los nombres Earth Vetala, MERCURY, Static Kitten, Seedworm y TEMP.Zagros, y el grupo es conocido por las ciberofensivas en apoyo de los objetivos de MOIS desde aproximadamente 2018.
Además de explotar las vulnerabilidades informadas públicamente, históricamente se ha observado que el grupo emplea herramientas de código abierto para obtener acceso a datos confidenciales, implementar ransomware y lograr la persistencia en las redes de las víctimas.
Una investigación de seguimiento realizada por Cisco Talos a fines del mes pasado también descubrió una campaña de malware previamente no documentada dirigida a organizaciones privadas turcas e instituciones gubernamentales con el objetivo de implementar una puerta trasera basada en PowerShell.
Las nuevas actividades desenmascaradas por las autoridades de inteligencia no son diferentes en el sentido de que utilizan scripts ofuscados de PowerShell para ocultar las partes más dañinas de los ataques, incluidas las funciones de comando y control (C2).
Las intrusiones se facilitan a través de una campaña de phishing dirigido que intenta persuadir a sus objetivos para que descarguen archivos ZIP sospechosos que contienen un archivo de Excel con una macro maliciosa que se comunica con el servidor C2 del actor o un archivo PDF que arroja una carga maliciosa a los infectados. sistema.
«Además, el grupo utiliza múltiples conjuntos de malware, incluidos PowGoop, Small Sieve, Canopy/Starwhale, Mori y POWERSTATS, para cargar malware, acceso de puerta trasera, persistencia y exfiltración», dijeron el FBI, CISA, CNMF y NCSC.
Mientras que PowGoop funciona como un cargador responsable de descargar los scripts de PowerShell de segunda etapa, Small Sieve se describe como un implante basado en Python que se usa para mantener un punto de apoyo en la red aprovechando la API de Telegram para comunicaciones C2 para evadir la detección.
Otras piezas clave de malware son Canopy, un archivo de secuencias de comandos de Windows (.WSF) que se usa para recopilar y transmitir metadatos del sistema a una dirección IP controlada por un adversario, y dos puertas traseras llamadas Mori y POWERSTATS que se usan para ejecutar comandos recibidos del C2 y mantener acceso persistente.
Además de eso, MuddyWater empleó un script de encuesta para enumerar información sobre las computadoras de las víctimas, que luego se envía de vuelta al servidor C2 remoto. También se implementó una puerta trasera de PowerShell recientemente identificada que se usa para ejecutar los comandos recibidos del atacante.
Para crear barreras para posibles ataques, las agencias recomiendan a las organizaciones que utilicen la autenticación multifactor cuando corresponda, limiten el uso de privilegios de administrador, implementen protecciones contra el phishing y prioricen la reparación de vulnerabilidades explotadas conocidas.