伊朗MuddyWater黑客组织在全球网络攻击中使用新的恶意软件

来自英国和美国的网络安全机构揭露了一个新的恶意软件，由伊朗政府资助的高级持久性威胁（APT）集团在全球范围内攻击政府和商业网络。

这些机构说：“MuddyWater的参与者既可以提供被盗数据，也可以访问伊朗政府，还可以与其他恶意网络参与者共享这些数据。”。

联合咨询由联邦调查局（FBI）、网络安全和基础设施安全局（CISA）、美国网络司令部网络国家使命部队（CNMF）和英国国家网络安全中心（NCSC）提供。

作为伊朗情报和安全部（MOIS）的一部分，这名网络间谍行为人今年被揭发为在亚洲、非洲、欧洲和北美针对广泛的政府和私营部门组织进行恶意行动，包括电信、国防、地方政府、石油和天然气部门。

MuddyWater is also tracked by the wider cybersecurity community under the names Earth Vetala, MERCURY, Static Kitten, Seedworm, and TEMP.Zagros, with the group known for cyber offensives in support of MOIS objectives since roughly 2018.

除了利用公开报告的漏洞外，历史上还观察到黑客集体使用开源工具访问敏感数据、部署勒索软件，并在受害者网络上实现持久性。

思科塔罗斯（Cisco Talos）上月晚些时候进行的后续调查还发现了一个以前未记录的恶意软件活动，目标是部署一个基于PowerShell的后门，该活动针对土耳其私营组织和政府机构。

情报部门揭露的新活动也没有什么不同，它们利用模糊的PowerShell脚本来隐藏攻击中最具破坏性的部分，包括指挥和控制（C2）功能。

通过标枪式网络钓鱼活动，试图诱使目标下载可疑的ZIP档案，这些档案要么包含一个Excel文件，其中包含一个与参与者的C2服务器通信的恶意宏，要么包含一个PDF文件，向受感染的系统投下恶意负载，从而为入侵提供便利。

FBI、CISA、CNMF和NCSC表示：“此外，该组织使用多个恶意软件集—；包括PowGoop、Small Siever、Canopy/Starwhale、Mori和POWERSTATS—；来加载恶意软件、后门访问、持久性和过滤。”。

虽然PowGoop充当加载程序，负责下载第二阶段PowerShell脚本，但Small Sieve被描述为一种基于Python的植入物，用于通过利用C2通信的电报API来逃避检测，从而在网络中保持立足点。

恶意软件的其他关键部分包括Canopy，一个Windows脚本文件（.WSF），用于收集系统元数据并将其传输到对手控制的IP地址，以及两个名为Mori和POWERSTATS的后门，用于运行从指挥与控制系统接收的命令并保持持久访问。

MuddyWater使用了一系列工具，其中包括一个调查脚本，用于列举受害者计算机的信息并将其传输回远程C2服务器。还部署了一个新识别的PowerShell后门，用于执行从攻击者接收的命令。

为了为潜在的攻击设置障碍，这些机构建议组织在适用的情况下使用多因素身份验证，限制管理员权限的使用，实施网络钓鱼保护，并优先修补已知被利用的漏洞。