1月12日,美国网络司令部(USCYBERCOM)发布报告,正式将MuddyWatter黑客组织与伊朗情报与安全部(MOIS)联系起来。

据《The Record》报道,美国网络司令部周三透露,一个以网络间谍活动闻名的黑客组织实际上是伊朗情报机构的一部分。美国网络司令部下属的国家网络任务部队宣布,这个被称为“MuddyWater”的组织是伊朗情报和安全部的一个下属单位。

MuddyWater是来自伊朗的APT组织

“美国网络司令部已经介入。”SentinelOne公司的首席威胁研究员J.A.Guerrero-Saade在Twitter上提到伊朗的伊斯兰革命卫队时说:“MuddyWater归属于伊朗的MOIS(而不是一些人认为的IRGC)。”

MuddyWater是来自伊朗的APT组织,又名SeedWorm和TEMP.Zagros,于2017年首次被发现,主要针对中东国家,也针对欧洲、北美和亚洲国家。美国网络司令部表示,MuddyWater是伊朗情报与安全部(MOIS)的下属部门。

美国网络司令部与美国联邦调查局合作,还将全球各地雇用伊朗情报人员的多个开源恶意软件工具上传到流行的恶意软件库VirusTotal。

“如果你看到这些工具的组合,伊朗MOIS行为者MuddyWater可能在你的网络中,”美国网络司令部在这十个条目的顶部警告说。

美国网络司令部将MuddyWatter 黑客组织与伊朗情报机构联系起来

MuddyWater至少起源于2015年

据悉,MuddyWater,有时被称为SeedWorm,至少从2015年开始就进行了间谍活动。

上个月,赛门铁克的威胁猎手团队发布研究报告,发现该组织在过去6个月中针对整个中东和亚洲的电信运营商和IT服务组织。

研究人员的结论是,所涉及的目标和战术—攻击者依靠公开的恶意软件和远程管理及安全评估工具来窃取凭证,在整个网络中移动—“与伊朗赞助的行为者一致”,但没有将该活动归于伊朗政府。

在美国网络司令部强调的恶意软件样本中,有一些PowGoop的变种,这是一种虚假的Google更新机制。其中包括一个赋予攻击者指挥和控制功能的变体,以及另外两个作为信标的变体,从被攻击的网络中联系恶意的基础设施。其他样本包括恶意的JavaScript文件和一个版本的Mori后门。