Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA), az FBI, az Amerikai Kiber Parancsnokság – Nemzeti Kiber Műveleti Egysége (U.S. Cyber Command Cyber National Mission Force – CNMF), valamint a brit kibervédelmi központ (NCSC-UK) közös figyelmeztetést adott ki az iráni állami hátterű MuddyWater APT csoport kormányzati és magánszektor ellen irányuló fokozott kiberműveleteiről.
A MuddyWater (más néven Earth Vetala, MERCURY, Static Kitten, Seedworm, TEMP.Zagros) csoport kiberkémkedési és egyéb kiberfenyegetési célok mentén indít támadásokat több régióban (Ázsia, Afrika, Európa, Észak-Amerika). A támadások célkeresztjében leginkább telekommunikációs, védelmi, lokális kormányzati és létfontosságú rendszerek állnak.
A MuddyWatert az iráni katonai hírszerzéshez (Hírszerzési és Biztonsági Minisztérium – MOIS) kötik. [1] A csoport módszereiről ismert, hogy előszeretettel használ ki ismert sérülékenységeket, alkalmaz nyílt forrású eszközöket és célzott adathalászati technikákat annak érdekében, hogy a célrendszereken szenzitív adatokat szerezzen, valamint zsarolóvírus támadásokat hajtson végre. Jellemző, hogy a megtámadott rendszeren DLL side-loading, valamint obfuszkált PowerShell szkriptek alkalmazásával marad perzisztens.
A csoport több káros kód családot is alkalmaz: PowGoop, Small Sieve, Canopy (más néven Starwhale), Mori, és POWERSTATS.
A tájékoztató malware-elemzési riportot, technikai indikátorokat, és a fenyegetési szereplőről bővebb információt is közöl:
- Malware Analysis Report – MAR-10369127-1.v1: MuddyWater
- IOCs – AA22-052A.stix and MAR-10369127-1.v1.stix
- CISA’s webpage – Iran Cyber Threat Overview and Advisories
- NCSC-UK MAR – Small Sieve
- CNMF’s press release – Iranian intel cyber suite of malware uses open source tools
További források:
[1] https://www.cybercom.mil/Media/News/Article/2897570/iranian-intel-cyber-suite-of-malware-uses-open-source-tools/