【安全资讯】伊朗MuddyWater组织针对全球政府和商业实体开展间谍活动

猎影实验室 2022-02-25 06:42:04 3361人浏览

引言

2月24日,联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA)、美国网络司令部网络国家任务部队 (CNMF) 和英国国家网络安全中心 (NCSC-UK) 分享了关于伊朗 MuddyWatter 组织攻击活动的信息,并介绍了该组织使用的各种恶意软件家族。

 

简况

MuddyWater又名Earth Vetala、MERCURY、Static Kitten、Seedworm 和 TEMP.Zagros,是伊朗情报和安全部 (MOIS) 的一个下属部门,自大约2018年以来开展了广泛的网络活动。英美执法机构表示, MuddyWater组织正针对电信、国防、地方政府以及石油和天然气等一系列政府和私营部门发起网络间谍活动和其他恶意网络行动,受害者主要位于亚洲、非洲、欧洲和北美。

 

MuddyWater APT 组织采用鱼叉式网络钓鱼、利用已知漏洞并利用多种开源工具来访问敏感的政府和商业网络。 作为鱼叉式网络钓鱼活动的一部分,MuddyWater试图诱使目标受害者下载ZIP文件,其中包含带有与攻击者的 C2 服务器通信的恶意宏的 Excel 文件或 PDF 文件。MuddyWater 参与者还使用诸如侧载 DLL等技术来欺骗合法程序运行恶意软件,并混淆 PowerShell 脚本以隐藏 C2 功能。

 

MuddyWater组织使用多种恶意软件家族,包括PowGoop、Canopy/Starwhale、Mori、POWERSTATS的变种以及以前未知的新家族Small Sieve。MuddyWater利用这些软件在受感染的系统上部署第二阶段恶意软件,以实现后门访问、保持持久性和数据泄露。其中的Small Sieve是一种新的Python后门,使用 Nullsoft Scriptable Install System (NSIS) 安装程序分发,通过使用自定义字符串和流量混淆方案以及 Telegram Bot 应用程序编程接口 (API)来规避检测。

 

总结

MuddyWatter网络间谍组织以重点攻击中东实体并不断升级其恶意软件工具包而闻名。尽管相对较新,但其攻击活动非常活跃,目标是电信、政府(IT 服务)和石油行业组织,且已将攻击范围扩大到中亚和西南亚的政府和国防实体,以及来自北美、欧洲和亚洲的私营和公共组织,因此是一个值得警惕的威胁组织。

失陷指标(IOC)25
APT MuddyWater 政府部门 通信 国防 能源
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。