Militer AS Mengikat APT MuddyWater Cyberespionage yang Banyak ke Iran

U.S. Cyber ​​Command telah mengkonfirmasi bahwa MuddyWater – aktor spionase siber ancaman persisten tingkat lanjut (APT) alias Mercury, Static Kitten, TEMP.Zagros atau Seedworm yang secara historis menargetkan korban pemerintah di Timur Tengah – adalah badan intelijen Iran.

Tautan telah dicurigai, dan sekarang sudah dicap pemerintah. Pada hari Rabu, USCYBERCOM tidak hanya mengkonfirmasi dasi; itu juga mengungkapkan sejumlah besar alat dan strategi open-source yang digunakan MuddyWater untuk masuk ke sistem target dan merilis sampel malware.

“MuddyWater telah terlihat menggunakan berbagai teknik untuk mempertahankan akses ke jaringan korban,” menurut Pasukan Misi Nasional USCYBERCOM ( CNMF). “Ini termasuk DLL pemuatan samping untuk mengelabui program yang sah agar menjalankan malware dan mengaburkan skrip PowerShell untuk menyembunyikan fungsi perintah dan kontrol.”

USCYBERCOM telah mengunggah beberapa sampel malware yang dikaitkan dengan MuddyWater ke VirusTotal.
Iranian MOIS grup peretas #MuddyWater menggunakan suite malware untuk melakukan spionase dan aktivitas jahat. Jika Anda melihat dua atau lebih malware ini di jaringan Anda, Anda mungkin memiliki MuddyWater di dalamnya: https://t.co/xTI6xuQOg3. Dikaitkan melalui @NCIJTF@FBI

— USCYBERCOM Cybersecurity Alert (@CNMF_CyberAlert) 12 Januari 2022

USCYBERCOM siaran pers menggambarkan MuddyWater sebagai “elemen bawahan dalam Kementerian Intelijen dan Keamanan Iran (MOIS).” Congressional Research Service menggambarkan MOIS melakukan “pengawasan domestik untuk mengidentifikasi lawan rezim” dan mengatakan bahwa badan tersebut bertanggung jawab untuk pengawasan aktivis anti-rezim di luar negeri melalui jaringan agen yang ditempatkan di kedutaan besar Iran.

Varian Baru PowGoop Malware

Di antara beberapa set malware, MuddyWater menggunakan varian baru dari keluarga malware PowGoop, kata CNMF.

PowGoop pertama kali dijelaskan oleh Palo Alto Networks pada September 2020, ketika digunakan dalam serangan terhadap dua organisasi milik negara di Timur Tengah dan Afrika Utara yang akhirnya diinstal dan dijalankan varian dari ransomware Thanos.

Pada saat itu, Palo Alto menduga bahwa pelaku ancaman menggunakan pengunduh – yang oleh peneliti dijuluki PowGoop – untuk menjangkau server jauh guna mengunduh dan menjalankan skrip PowerShell. Nama tersebut berasal dari penggunaan GoogleUpdate.exe untuk memuat versi goopdate.dll yang dimodifikasi dan berbahaya – DLL yang digunakan untuk memuat skrip PowerShell berbahaya dari file eksternal.

PowGoop telah digosok sejak pertama kali terlihat: SentinelLabs aktif Rabu menjelaskan bahwa varian PowGoop yang ditingkatkan secara signifikan dan lebih baru telah muncul di alam liar, ditemukan dalam insiden yang baru-baru ini diprioritaskan, “menyarankan kelompok terus menggunakan dan memeliharanya bahkan setelah paparan baru-baru ini.”

“Varian baru mengungkapkan bahwa kelompok ancaman telah memperluas gudang perangkat lunak sah yang digunakan untuk memuat DLL berbahaya,” tulis peneliti intelijen SentinelOne Amitai Ben Shushan Ehrlich.

Ehrlich menjelaskan bahwa, selain GoogleUpdate.exe, tiga perangkat lunak jinak lainnya disalahgunakan untuk mengesampingkan DLL berbahaya: Git.exe , FileSyncConfig.exe dan Inno_Updater.exe.

CNMF telah membagikan sampel baru yang menunjukkan bagian berbeda dari rangkaian alat baru MuddyWater, bersama dengan Jav File aScript digunakan untuk membuat koneksi kembali ke infrastruktur berbahaya. Mereka termasuk varian suar perintah-dan-kontrol (C2) PowGoop baru serta Mori Backdoor: pintu belakang yang digunakan untuk spionase cyber yang menggunakan tunneling DNS untuk berkomunikasi dengan infrastruktur C2. jaringan,” CNMF mengulangi tentang indikator kompromi (IoC) yang baru dirilis dan sudah diketahui. “Jika operator jaringan mengidentifikasi beberapa alat di jaringan yang sama, itu mungkin menunjukkan adanya aktor cyber berbahaya Iran.”

Love of Tunneling, Exchange Exploits & Ruler Abuse

SentinelLabs menelusuri beberapa temuan terbaru tambahan tentang teknik, taktik, dan prosedur MuddyWater (TTPs), termasuk:

MuddyWater Tunneling Activity: “Operator di balik aktivitas MuddyWater sangat menyukai alat tunneling,” tulis Ehrlich dari SentinelOne. “Alat khusus yang digunakan oleh grup sering kali menyediakan fungsionalitas terbatas, dan digunakan untuk menjatuhkan alat penerowongan yang memungkinkan operator melakukan serangkaian aktivitas yang lebih luas.” Penyerang

MuddyWater menggunakan alat penerowongan termasuk Pahat, SSF, dan Ligolo: alat yang memungkinkan aktor ancaman untuk terhubung ke mesin dalam lingkungan target seolah-olah mereka berada di dalam LAN operator, jelasnya.
Ringkasan tunneling MuddyWater menggunakan Pahat. Sumber: Sentinel Labs.

Mengeksploitasi Microsoft Exchange: Sentinel Labs juga telah melacak MuddyWater yang menargetkan server Exchange dari organisasi terkenal. “Subset dari aktivitas eksploitasi Exchange ini agak menarik, karena tanpa konteks akan sulit untuk mengaitkannya dengan MuddyWater karena aktivitas tersebut hampir sepenuhnya bergantung pada alat keamanan ofensif yang tersedia untuk umum,” kata Ehrlich.

Mereka menggunakan dua alat untuk mencoba mengeksploitasi Server Exchange: skrip yang tersedia untuk umum untuk mengeksploitasi CVE-2020-0688 – kerentanan yang memungkinkan eksekusi kode jarak jauh (RCE) untuk pengguna yang diautentikasi – dan Ruler, kerangka kerja eksploitasi Exchange open source yang baru-baru ini digunakan untuk menargetkan serangkaian operator telekomunikasi Timur Tengah dan perusahaan IT, seperti yang dilaporkan oleh Tim Pemburu Ancaman Symantec bulan lalu.

MuddyWater: Lebih Baik & Lebih Baik dalam Mengaduk Muck

Analisis menunjukkan bahwa APT MuddyWater terus berevolusi dan mengadaptasi tekniknya yang dirangkum Sentinel Labs. “Meskipun masih mengandalkan alat keamanan ofensif yang tersedia untuk umum, grup ini telah menyempurnakan perangkat kustomnya dan menggunakan teknik baru untuk menghindari deteksi,” kata Ehrlich, menunjuk pada evolusi keluarga malware PowGoop, penggunaan alat tunneling oleh grup, dan penargetannya. server Exchange di organisasi berprofil tinggi.

Grup tidak harus mewah untuk menjadi efektif, ia mencatat: “Seperti banyak aktor ancaman Iran lainnya, grup ini menampilkan lebih sedikit kecanggihan dan kompleksitas teknologi dibandingkan dengan grup APT lain yang disponsori negara. Meski begitu, tampaknya kegigihan MuddyWater adalah kunci kesuksesan mereka, dan kurangnya kecanggihan mereka tampaknya tidak menghalangi mereka untuk mencapai tujuan mereka.”

PasswordReset: Acara Sesuai Permintaan: Fortify 2022 dengan strategi keamanan kata sandi yang dibuat untuk ancaman saat ini. Meja Bundar Keamanan Threatpost ini, dibuat untuk para profesional infosec, berpusat pada manajemen kredensial perusahaan, dasar-dasar kata sandi baru, dan mengurangi pelanggaran pasca-kredensial. Bergabunglah dengan Darren James, dengan Specops Software dan Roger Grimes, penginjil pertahanan di KnowBe4 dan pembawa acara Threatpost Becky Bracken. Daftar & Streaming sesi GRATIS ini hari ini – disponsori oleh Specops Software.
Tulis komentar
Bagikan artikel ini:

  • Governmentliu

    <

    ul>iHacksliu

    <

    ul>iMalwareliu

    <

    ul>iKerentananliu

      iKeamanan Web
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: