Nhóm tin tặc MuddyWater của Iran sử dụng mã độc mới trong các cuộc tấn công mạng trên toàn thế giới


Các cơ quan an ninh mạng từ Vương quốc Anh và Mỹ đã phát hiện ra một loại mã độc mới do nhóm đe dọa nâng cao (APT) được chính phủ Iran tài trợ sử dụng trong các cuộc tấn công nhắm vào các chính phủ và mạng lưới thương mại trên toàn thế giới.



Các cơ quan này cho biết : “Các thành viên của MuddyWater được đào tạo để cung cấp dữ liệu và quyền truy cập bị đánh cắp cho chính phủ Iran và chia sẻ những dữ liệu này với các nhóm tin tặc khác”.



Thông báo chung này được đưa ra bởi Cục Điều tra Liên bang (FBI), Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), Lực lượng Nhiệm vụ Quốc gia Không gian mạng của Bộ Chỉ huy Mạng Hoa Kỳ (CNMF) và Trung tâm An ninh Mạng Quốc gia (NCSC) của Vương quốc Anh.



Các gián điệp mạng đã bị vô hiệu hóa trong năm nay do tiến hành một loạt các hoạt động độc hại theo lệnh của Bộ Tình báo và An ninh Iran (MOIS) nhằm vào một loạt các tổ chức chính phủ và tư nhân bao gồm viễn thông, quốc phòng, chính quyền địa phương và các lĩnh vực dầu khí tự nhiên ở Châu Á, Châu Phi, Châu Âu và Bắc Mỹ.



MuddyWater cũng được cộng đồng an ninh mạng theo dõi với các tên khác nhau như Earth Vetala, MERCURY, Static Kitten, Seedworm và TEMP.Zagros. Nhóm này nổi tiếng với các hành vi tấn công mạng nhằm hỗ trợ các mục tiêu của MOIS kể từ khoảng năm 2018.



Bên cạnh việc khai thác các lỗ hổng được báo cáo công khai, nhóm này có tiền sử lợi dụng các công cụ mã nguồn mở để truy cập vào dữ liệu nhạy cảm, triển khai ransomware và đạt được Persistence trên mạng của nạn nhân.



(Persistence là phương pháp tấn công cho phép hackers truy cập vào môi trường của nạn nhân bất cứ khi nào).



Một cuộc điều tra tiếp theo của Cisco Talos vào cuối tháng trước cũng đã phát hiện ra một chiến dịch mã độc chưa từng được ghi nhận trước đây, nó nhắm vào các tổ chức tư nhân và cơ quan chính phủ của Thổ Nhĩ Kỳ với mục tiêu triển khai một cửa hậu dựa trên PowerShell.



Các hoạt động mới được cơ quan tình báo vạch trần này tương tự nhau ở chỗ chúng sử dụng các tập lệnh script PowerShell bị xáo trộn để che giấu các phần gây hại nhất của các cuộc tấn công, bao gồm các chức năng ra lệnh và kiểm soát (C2).



Các cuộc xâm nhập được tạo điều kiện thông qua một chiến dịch lừa đảo trực tuyến cố gắng dụ các mục tiêu của nó tải xuống các file lưu trữ ZIP đáng ngờ có file Excel có chứa macro độc hại có thể giao tiếp với máy chủ C2 của tin tặc, hoặc một file PDF có thể phát tán mã độc vào máy của nạn nhân.



FBI, CISA, CNMF và NCSC cho biết: “Ngoài ra, nhóm này sử dụng nhiều bộ mã độc khác nhau bao gồm PowGoop, Small Sieve, Canopy / Starwhale, Mori và POWERSTATS nhằm phát tán mã độc, truy cập cửa hậu và trích xuất thông tin.



Trong khi PowGoop hoạt động như một bộ tải (loader) chịu trách nhiệm tải xuống các tập lệnh script PowerShell giai đoạn hai, thì Small Sieve được mô tả như một bộ cấy dựa trên Python được sử dụng để duy trì chỗ đứng trong mạng bằng cách tận dụng Telegram API cho các giao thức C2 nhằm tránh bị phát hiện.



Các mã độc quan trọng khác bao gồm Canopy, một tệp Windows Script (.WSF) được sử dụng để thu thập và truyền siêu dữ liệu của hệ thống tới địa chỉ IP do tin tặc kiểm soát. Ngoài ra còn có hai cửa hậu có tên Mori và POWERSTATS được sử dụng để chạy các lệnh nhận được từ C2 và duy trì truy cập liên tục.



Vũ khí cuối cùng trong kho công cụ mà MuddyWater sử dụng là một file script khảo sát nhằm liệt kê và truyền thông tin từ máy tính nạn nhân trở lại máy chủ C2 từ xa. Ngoài ra còn có một cửa hậu PowerShell mới được xác định được sử dụng để thực thi các lệnh nhận được từ kẻ tấn công.



Để có thể ngăn chặn các cuộc tấn công tiềm ẩn, các cơ quan đang khuyến nghị các tổ chức sử dụng xác thực đa yếu tố bất cứ khi nào có thể, hạn chế việc sử dụng đặc quyền của quản trị viên, triển khai các biện pháp bảo vệ chống lừa đảo và ưu tiên vá các lỗ hổng đã bị khai thác.



Theo Thehackernews
The post Nhóm tin tặc MuddyWater của Iran sử dụng mã độc mới trong các cuộc tấn công mạng trên toàn thế giới appeared first on SecurityDaily .

Top News