美国网络司令部将“MuddyWater”黑客组织与伊朗情报机构联系起来

美国网络司令部（USCYBERCOM）周三正式确认MuddyWater与伊朗情报机构的联系，同时详细说明了这位间谍演员为深入受害者网络而采用的各种工具和战术

“MuddyWater被发现使用各种技术来维护受害者网络的接入，”USCYBERCOM的网络国家任务部队（CNMF）在一份声明中说。“其中包括侧面加载DLL，以诱使合法程序运行恶意软件，以及混淆PowerShell脚本以隐藏命令和控制功能。”

该机构将黑客活动描述为伊朗情报和安全部（MOIS）的下属机构，证实了早些时候有关该民族国家行为者出处的报道

还以“静态小猫”、“种子虫”、“水星”和“温度”为名进行了追踪。扎格罗斯（MuddyWater）因其攻击主要针对中东政府、学术界、隐匿性、电信和石油部门的实体领域而闻名。据信，该集团至少自2017年以来一直活跃

对手最近发起的入侵涉及利用ZeroLogon（CVE-2020-1472）漏洞，以及利用ScreenConnect和远程实用程序等远程桌面管理工具部署自定义后门，使攻击者能够未经授权访问敏感数据

上个月，赛门铁克的威胁猎手团队公布了Muddywater集团在过去六个月内利用合法工具、公开可用的恶意软件、网络攻击工具和，以土地为生（LotL）方法

其工具集中还包含一个名为Mori的后门和一个名为PowGoop的恶意软件，PowGoop是一个DLL加载程序，旨在解密和运行基于PowerShell的脚本，该脚本与远程服务器建立网络通信

已在VirusTotal恶意软件聚合存储库中提供了$##归因于高级持久性威胁（APT）的恶意软件样本，可在此处访问

“对泥水活动的分析表明，该组织在继续发展和调整他们的技术，”哨兵研究人员阿米泰·本·舒山·埃利希说。“虽然仍然依赖于公开的攻击性安全工具，但该组织一直在改进其定制工具集，并利用新技术避免被发现。”