Badan keamanan siber dari Inggris dan AS telah mengungkap malware baru yang digunakan oleh kelompok ancaman persisten lanjutan (APT) yang disponsori pemerintah Iran dalam serangan yang menargetkan jaringan pemerintah dan komersial di seluruh dunia.
"Aktor MuddyWater diposisikan baik untuk memberikan data curian dan akses ke pemerintah Iran dan untuk membaginya dengan aktor cyber jahat lainnya," kata badan tersebut.
Penasihat bersama datang atas izin Biro Investigasi Federal (FBI), Badan Keamanan Siber dan Infrastruktur (CISA), Pasukan Misi Nasional Siber Komando Siber AS (CNMF), dan Pusat Keamanan Siber Nasional Inggris (NCSC).
Aktor spionase dunia maya tahun ini dianggap melakukan operasi jahat sebagai bagian dari Kementerian Intelijen dan Keamanan (MOIS) Iran yang menargetkan berbagai organisasi pemerintah dan sektor swasta, termasuk telekomunikasi, pertahanan, pemerintah daerah, dan sektor minyak dan gas alam. di Asia, Afrika, Eropa, dan Amerika Utara.
MuddyWater juga dilacak oleh komunitas keamanan siber yang lebih luas dengan nama Earth Vetala, MERCURY, Static Kitten, Seedworm, dan TEMP.Zagros, dengan grup yang dikenal dengan serangan siber untuk mendukung tujuan MOIS sejak kira-kira 2018.
Selain mengeksploitasi kerentanan yang dilaporkan secara publik, kolektif peretasan secara historis diamati menggunakan alat sumber terbuka untuk mendapatkan akses ke data sensitif, menyebarkan ransomware, dan mencapai kegigihan di jaringan korban.
Investigasi lanjutan oleh Cisco Talos akhir bulan lalu juga mengungkap kampanye malware yang sebelumnya tidak terdokumentasi yang ditujukan untuk organisasi swasta Turki dan lembaga pemerintah dengan tujuan menyebarkan backdoor berbasis PowerShell.
Aktivitas baru yang dibuka kedoknya oleh otoritas intelijen tidak berbeda karena mereka menggunakan skrip PowerShell yang dikaburkan untuk menyembunyikan bagian serangan yang paling merusak, termasuk fungsi command-and-control (C2).
Penyusupan difasilitasi melalui kampanye spear-phishing yang mencoba membujuk targetnya untuk mengunduh arsip ZIP mencurigakan yang berisi file Excel dengan makro jahat yang berkomunikasi dengan server C2 aktor atau file PDF yang menjatuhkan muatan berbahaya ke orang yang terinfeksi. sistem.
"Selain itu, grup ini menggunakan beberapa set malware — termasuk PowGoop, Small Sieve, Canopy/Starwhale, Mori, dan POWERSTATS — untuk memuat malware, akses backdoor, persistensi, dan eksfiltrasi," kata FBI, CISA, CNMF, dan NCSC.
Sementara PowGoop berfungsi sebagai loader yang bertanggung jawab untuk mengunduh skrip PowerShell tahap kedua, Small Sieve digambarkan sebagai implan berbasis Python yang digunakan untuk mempertahankan pijakan di jaringan dengan memanfaatkan API Telegram untuk komunikasi C2 guna menghindari deteksi.
Bagian penting lainnya dari malware adalah Canopy, File Skrip Windows (.WSF) yang digunakan untuk mengumpulkan dan mengirimkan metadata sistem ke alamat IP yang dikendalikan musuh, dan dua pintu belakang yang disebut Mori dan POWERSTATS yang digunakan untuk menjalankan perintah yang diterima dari C2 dan memelihara akses terus-menerus.
Mengumpulkan gudang alat yang digunakan oleh MuddyWater adalah skrip survei untuk menghitung dan mengirimkan informasi tentang komputer korban kembali ke server C2 jarak jauh. Juga digunakan adalah backdoor PowerShell yang baru diidentifikasi yang digunakan untuk menjalankan perintah yang diterima dari penyerang.
Untuk menciptakan penghalang bagi potensi serangan, agensi merekomendasikan organisasi untuk menggunakan otentikasi multi-faktor di mana pun berlaku, membatasi penggunaan hak administrator, menerapkan perlindungan phishing, dan memprioritaskan menambal kerentanan yang diketahui dieksploitasi.