Fokozott iráni APT aktivitásról adott ki tájékoztatót a CISA

 

Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA), az FBI, az Amerikai Kiber Parancsnokság – Nemzeti Kiber Műveleti Egysége (U.S. Cyber Command Cyber National Mission Force – CNMF), valamint a brit kibervédelmi központ (NCSC-UK) közös figyelmeztetést adott ki az iráni állami hátterű MuddyWater APT csoport kormányzati és magánszektor ellen irányuló fokozott kiberműveleteiről.

A MuddyWater (más néven Earth Vetala, MERCURY, Static Kitten, Seedworm, TEMP.Zagros) csoport kiberkémkedési és egyéb kiberfenyegetési célok mentén indít támadásokat több régióban (Ázsia, Afrika, Európa, Észak-Amerika). A támadások célkeresztjében leginkább telekommunikációs, védelmi, lokális kormányzati és létfontosságú rendszerek állnak.

A MuddyWatert az iráni katonai hírszerzéshez (Hírszerzési és Biztonsági Minisztérium  – MOIS) kötik. [1] A csoport módszereiről ismert, hogy előszeretettel használ ki ismert sérülékenységeket, alkalmaz nyílt forrású eszközöket és célzott adathalászati technikákat annak érdekében, hogy a célrendszereken szenzitív adatokat szerezzen, valamint zsarolóvírus támadásokat hajtson végre. Jellemző, hogy a megtámadott rendszeren DLL side-loading, valamint obfuszkált PowerShell szkriptek alkalmazásával marad perzisztens.

A csoport több káros kód családot is alkalmaz: PowGoop, Small Sieve, Canopy (más néven Starwhale), Mori, és POWERSTATS.

A tájékoztató malware-elemzési riportot, technikai indikátorokat, és a fenyegetési szereplőről bővebb információt is közöl:

(cisa.gov)

További források:

[1] https://www.cybercom.mil/Media/News/Article/2897570/iranian-intel-cyber-suite-of-malware-uses-open-source-tools/