伊朗黑客针对土耳其和阿拉伯半岛发起新的恶意软件攻势

伊朗国家支持的威胁行动方泥水已被归因于针对土耳其和阿拉伯半岛的一系列新攻击，目的是在受损系统上部署远程访问特洛伊木马（RATs）。

Cisco Talos研究人员Asheer Malhotra、Vitor Ventura和Arnaud Zobec在今天发布的一份报告中说：“MuddyWater超级集团的动机很强，可以使用未经授权的访问进行间谍活动、知识产权盗窃，并在企业中部署勒索软件和破坏性恶意软件”。

该组织至少自2017年以来一直活跃，以其对各个部门的攻击而闻名，这些攻击有助于进一步推进伊朗的地缘政治和国家安全目标。2022年1月，美国网络司令部将这名演员归于该国情报和安全部（MOIS）。

这家网络安全公司补充称，MuddyWater还被认为是“由多个独立运营的团队组成的企业集团，而不是一个单一的威胁参与者群体”，这使其成为总部位于中国的高级持久性威胁（APT）Winnti的伞形参与者。

黑客团队开展的最新活动涉及使用通过网络钓鱼消息发送的恶意软件文件部署远程访问特洛伊木马SloughRAT（CISA称为Canopy），该木马能够执行从其指挥和控制（C2）服务器接收的任意代码和命令。

maldoc是一个包含恶意宏的Excel文件，它会触发感染链在端点上删除两个Windows脚本文件（.WSF），其中第一个文件充当调用和执行下一阶段有效负载的工具。

还发现了另外两个基于脚本的植入程序，一个用Visual Basic编写，另一个用JavaScript编写，这两个程序都是为了在受损主机上下载和运行恶意命令而设计的。

此外，最新的入侵事件标志着2021年11月的一场运动的延续，土耳其的私人组织和政府机构利用PuxBelk的后门收集受害者的信息，即使它与2021年3月发生的另一次活动重叠。

研究人员指出，运营商所采用的战术和技术的共同点增加了这种可能性，即这些攻击是“不同但相关的活动集群”，这些活动利用了“更广泛的TTP共享范式，典型的是协同作战团队”。

在2021年12月和2022年1月之间的第二个钓鱼攻击序列涉及使用由对手创建的计划任务部署基于VBS的恶意下载器，使得能够执行从远程服务器检索的有效载荷。命令的结果随后被过滤回C2服务器。

研究人员总结道：“虽然他们分享了某些技巧，但这些活动也体现了他们开展方式的个性，表明Muddywater保护伞下存在多个小组—；所有小组都共享一系列战术和工具，可供选择”。