Komando Cyber ​​AS menghubungkan MuddyWater dengan intelijen Iran
Home & Office

Komando Cyber ​​AS menghubungkan MuddyWater dengan intelijen Iran

iran-cyber.png

Komando Siber Amerika Serikat mengatakan pada hari Rabu bahwa kelompok peretasan yang dikenal sebagai MuddyWater terkait dengan intelijen Iran.

“MuddyWater adalah kelompok ancaman Iran; sebelumnya, industri telah melaporkan bahwa MuddyWater terutama menargetkan negara-negara Timur Tengah, dan juga menargetkan negara-negara Eropa dan Amerika Utara,” kata Komando Cyber ​​dalam sebuah pemberitahuan.

“MuddyWater adalah elemen bawahan dalam Kementerian Intelijen dan Keamanan Iran (MOIS).”

Di Twitter, Cyber ​​Command mengatakan MuddyWater menggunakan rangkaian malware untuk spionase dan aktivitas jahat, dengan atribusi yang diberikan oleh Satuan Tugas Gabungan Investigasi Siber Nasional FBI.

“Grup peretas MOIS, MuddyWater, menggunakan kode sumber terbuka untuk malware,” katanya.

“MuddyWater dan MOIS APT Iran lainnya menggunakan tunneling DNS untuk berkomunikasi dengan infrastruktur C2-nya; jika Anda melihat ini di jaringan Anda, cari lalu lintas keluar yang mencurigakan.”

Bersamaan dengan pemberitahuannya, sampel malware MuddyWater diunggah ke VirusTotal, termasuk sideloader DDL PowGoop, dan backdoor Mori yang menggunakan tunneling DNS.

“Goopdate.dll menggunakan pemuatan samping DLL untuk dijalankan ketika GoogleUpdate.exe yang tidak berbahaya dijalankan. goopdate.dll kemudian akan menghapus goopdate.dat, yang merupakan skrip PowerShell yang digunakan untuk menghapus dan menjalankan konfigurasi. txt,” kata Cyber ​​Command saat menjelaskan satu contoh cara kerja PowGoop.

“Config.txt adalah skrip PowerShell yang membangun komunikasi jaringan dengan server PowGoop C2. Ini menggunakan mekanisme pengkodean base64 yang dimodifikasi untuk mengirim data ke dan dari server C2. IP server C2 sering kali di-hardcode di config.txt.”

Pada bulan November, otoritas dunia maya di seluruh AS, Inggris, dan Australia mengaitkan serangan yang mengeksploitasi lubang di Fortinet dan Exchanges dengan penyerang yang didukung Iran.

“FBI dan CISA telah mengamati kelompok APT yang disponsori pemerintah Iran ini mengeksploitasi kerentanan Fortinet setidaknya sejak Maret 2021, dan kerentanan Microsoft Exchange ProxyShell setidaknya sejak Oktober 2021 untuk mendapatkan akses awal ke sistem sebelum operasi lanjutan, yang mencakup penerapan ransomware,” demikian rilis bersama.

“ACSC juga menyadari grup APT ini telah menggunakan kerentanan Microsoft Exchange yang sama di Australia.”

Alih-alih mengejar sektor ekonomi tertentu, pihak berwenang mengatakan para penyerang hanya fokus pada eksploitasi kerentanan jika memungkinkan dan, setelah operasi, mereka kemudian mencoba mengubah akses awal itu menjadi eksfiltrasi data, serangan ransomware, atau pemerasan.

Pada bulan yang sama, Microsoft mengatakan serangan dari peretas Iran yang disponsori negara terhadap perusahaan layanan TI hampir tidak ada pada tahun 2020, tetapi pada tahun 2021 melebihi 1.500 potensi serangan.

Cakupan Terkait

Posted By : result hk