Υπηρεσίες κυβερνοασφάλειας και αρχές επιβολής του νόμου των ΗΠΑ και του Ηνωμένου Βασιλείου προειδοποιούν για νέα malware που έχουν αναπτυχθεί από την ιρανική hacking ομάδα MuddyWatter και στοχεύουν κρίσιμες υποδομές σε όλο τον κόσμο.
Αυτό αποκαλύφθηκε μέσω μιας κοινής δήλωσης που εκδόθηκε από την CISA, το FBI, το CNMF, το NCSC-UK και την NSA.
Δείτε επίσης: Νέο data-wiping malware στοχεύει δίκτυα στην Ουκρανία
Η ομάδα που υποστηρίζεται από την ιρανική κυβέρνηση “στοχεύει μια σειρά από κυβερνητικούς και ιδιωτικούς οργανισμούς σε όλους τους τομείς – συμπεριλαμβανομένων των τηλεπικοινωνιών, της άμυνας, της τοπικής αυτοδιοίκησης και του πετρελαίου και φυσικού αερίου – στην Ασία, την Αφρική, την Ευρώπη και τη Βόρεια Αμερική“, δήλωσαν οι κυβερνήσεις των ΗΠΑ και του Ηνωμένου Βασιλείου.
Η MuddyWater φαίνεται να χρησιμοποιεί διάφορα malware για να στοχεύει κρίσιμες υποδομές: PowGoop, Canopy/Starwhale, Mori, POWERSTATS, καθώς και άλλα άγνωστα μέχρι τώρα κακόβουλα λογισμικά. Αφού χρησιμοποιεί αυτά τα κακόβουλα λογισμικά, μετά αναπτύσσει malware δεύτερου σταδίου στα παραβιασμένα συστήματα, που επιτρέπει backdoor access, διατήρηση του persistence και κλοπή δεδομένων.
Δείτε επίσης: Επιθέσεις ransomware: Ο εφιάλτης δε σταματά μετά την πληρωμή των λύτρων
Δύο από τα malware που ανέλυσαν οι υπηρεσίες κυβερνοασφάλειας των ΗΠΑ και του Ηνωμένου Βασιλείου, ήταν ένα νέο Python backdoor (με το όνομα Small Sieve) που χρησιμοποιείται από την ομάδα MuddyWater για persistence και ένα PowerShell backdoor που χρησιμοποιείται για την κρυπτογράφηση command-and-control (C2) communication channels.
MuddyWatter: Hackers της ιρανικής υπηρεσίας πληροφοριών
Η ομάδα κυβερνοκατασκοπείας MuddyWatter (γνωστή και ως Earth Vetala, MERCURY, Static Kitten, Seedworm και TEMP.Zagros) δραστηριοποιείται τουλάχιστον από το 2017. Συνήθως στοχεύει οντότητες της Μέσης Ανατολής και αναβαθμίζει συνεχώς τα malware που χρησιμοποιεί.
Η ομάδα απειλών είναι σχετικά νέα αλλά είναι πολύ δραστήρια και στοχεύει οργανισμούς τηλεπικοινωνιών, κυβερνητικές υπηρεσίες και οργανισμούς ενέργειας.
Δείτε επίσης: Μια συνεχιζόμενη καμπάνια phishing στοχεύει τους πελάτες της Citibank
Το τελευταίο διάστημα, στοχεύει και κυβερνητικές και αμυντικές οντότητες στην Κεντρική και Νοτιοδυτική Ασία, καθώς και ιδιωτικούς και δημόσιους οργανισμούς από τη Βόρεια Αμερική, την Ευρώπη και την Ασία.
Τον Ιανουάριο του 2022, η MuddyWatter συνδέθηκε επίσημα με το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν (MOIS), από το US Cyber Command (USCYBERCOM).
Πηγή: Bleeping Computer