ABD ve İNGILTERE Siber Güvenlik ve Kanun İcra Ajansları Bugün, İranlı Destekli Muddywatter Hack Grubu tarafından dünyadaki kritik altyapı hedefleyen saldırılarda konuşlandırılan yeni kötü amaçlı yazılım hakkında bilgi paylaştı.
Bu, bugün CISA, Federal Soruşturma Bürosu (FBI), ABD Cyber Komutanlığının Siber Ulusal Misyon Gücü (CNMF), İngiltere'nin Ulusal Siber Güvenlik Merkezi (NCSC-UK) ve Ulusal Güvenlik Ajansı () tarafından yayınlanan ortak bir danışmanlıkta ortaya çıktı. Nsa).
İki hükümet, "Telekomünikasyon, Savunma, Yerel Hükümet ve Kuzey Amerika'da, Telekomünikasyon, Savunma, Yerel Hükümet ve Kuzey Amerika'daki sektörler arasında bir dizi hükümet ve özel sektör organizasyonlarını hedef alan" dedi.
Bu tehdit grubu, Powgoop, Canopy / Starwhale, Mori, Powerstats ve daha önce bilinmeyenler dahil olmak üzere çoklu kötü amaçlı yazılım suşu kullanır ve daha önce bilinmeyenler, ayrıklık sistemlerinde, arka kapı erişiminde, kalıcılığı korumak için ve veri exfiltration için.
Bugünkü kötü amaçlı yazılımlar arasında, ABD ve İngiltere ajansları, çamurlu su operatörleri tarafından kalıcılık için kullanılan yeni bir Python backdoor (dubbed küçük elek) vurguladı ve komut ve kontrol (C2) iletişim kanallarını şifrelemek için kullanılan bir PowerShell backdoor.
"Küçük elek, mağdur altyapısında bir dayanak sürdürmek ve genişletmek için gerekli temel işlevsellik sağlar ve TELEGRAM BOT Uygulama Programlama Arabirimi (API)", "TELGRAM BOT Uygulama Programlama Arabirimi (API) ile birlikte özel dize ve trafik sefil şemaları kullanılarak algılamayı önler.
"Spesifik olarak, küçük eleklerin işaretleri ve görevleri, Hypertext Transfer Protokolü Secure (HTTPS) üzerinde Telegram API kullanılarak gerçekleştirilir ve görevlendirme ve çırpınan verileri, şaşırtılmış bir taban64 işlevi ile birleştirilmiş altıgen bayt değiştirme kodlama şemasıyla şaşırtıyor."
Muddywatter Siber-Casusluk Grubu (AKA Earth Vetala, Merkür, Statik Yavru, Seemworm ve Temp.Zagrros), en az 2017 yılından bu yana aktif olmuştur.
Nispeten yeni olsa da, İran destekli tehdit grubu çok aktif ve telekomünikasyon, hükümet (BT hizmetleri) ve petrol endüstrisi organizasyonlarını hedeflemektedir.
Ayrıca, Orta ve Güneybatı Asya'daki hükümet ve savunma kuruluşlarına, ayrıca Kuzey Amerika, Avrupa ve Asya'dan özel olarak düzenlenen ve kamu orglarının yanı sıra saldırılara da genişletti [1, 2, 3].
2022 Ocak'ta, Muddywatter, ABD Cyber Commandes (USCYBERCOM) tarafından ülkenin önde gelen hükümet zekası ajansı olan İran İstihbarat ve Güvenlik Bakanlığı (MOIS) ile resmen bağlandı.
Bugünün uyarısı, Çarşamba günü, yeni kötü amaçlı yazılımları atfederken, Rus destekli Sandworm Hacking Grubuna yanıp sönen yeni kötü amaçlı yazılımları attı.
SANDWORM operatörleri, en azından Haziran 2019'dan bu yana Cyclops Blink kullanıyorlar.
ABD, İngiltere Link Yeni Cyclops Rus Devlet Hacker'larına kötü amaçlı yazılımları yanıp sönüyor
ABD Muddywater Hacking Grubunu İran İstihbarat Ajansına Bağladı
ABD Savunma Müteahhitleri Stealthy Sockdetour Windows Backdoor'dan Vurdu
Memento Ransomware ile bağlantılı siberler yeni PowerShell Malware
Muddywater Hack Topluluğu Türkiye'yi yeni kampanyada hedefliyor
Kaynak: Bleeping Computer