گروه هکری MuddyWater از بدافزار جدید در حملات سایبری استفاده می کند


4.3/5 - (3 امتیاز)

آژانس‌ های امنیت سایبری از بریتانیا و ایالات متحده بدافزار جدیدی را معرفی کرده‌ اند که توسط گروه هکری MuddyWater  تحت حمایت ایران در حملاتی که شبکه‌ های دولتی و تجاری در سراسر جهان را هدف می‌گیرند، استفاده می‌ شود.

این آژانس‌ ها می‌ گویند: «گروه هکری MuddyWater هم برای ارائه داده‌ ها و دسترسی‌ های دزدیده شده به دولت ایران و هم برای به اشتراک گذاشتن این اطلاعات با دیگر عوامل مخرب سایبری فعالیت میکنند.

این مشاوره مشترک از سوی اداره تحقیقات فدرال (FBI)، آژانس امنیت سایبری و امنیت زیرساخت (CISA)، فرماندهی سایبری نیروی ماموریت ملی سایبری ایالات متحده (CNMF) و مرکز امنیت سایبری ملی بریتانیا (NCSC) ارائه شده است.

این گروه جاسوسی سایبری در سال جاری به دلیل انجام عملیات‌ های مخرب به عنوان بخشی از اهداف دستگاه های امنیتی ایران که طیف گسترده‌ ای از سازمان‌ های دولتی و بخش خصوصی در آسیا، آفریقا، اروپا و آمریکای شمالی از جمله مخابرات، دفاع، دولت محلی و بخش‌ های نفت و گاز طبیعی را هدف قرار می‌دهد، متهم شد.

MuddyWater همچنین توسط جامعه امنیت سایبری گسترده‌ تر تحت نام‌ های Earth Vetala، MERCURY، Static Kitten، Seedworm، و TEMP.Zagros شناخته می‌ شود و این گروه تقریباً از سال 2018 به‌ خاطر حملات سایبری در حمایت از اهداف MOIS شناخته می‌ شود.

علاوه بر بهره‌ برداری از آسیب‌ پذیری‌ های گزارش‌ شده عمومی، این گروه هکری از ابزار های منبع باز برای دسترسی به داده‌ های حساس، استقرار باج‌ افزار و دستیابی به پایداری در شبکه‌ های قربانی استفاده می‌ کند.

تحقیقات بعدی توسط Cisco Talos در اواخر ماه گذشته همچنین یک کمپین بدافزار غیر مستند قبلی را کشف کرد که هدف آن سازمان‌ های خصوصی ترکیه و موسسات دولتی با هدف استقرار یک Backdoor مبتنی بر PowerShell بود.

فعالیت‌ های جدیدی که توسط مقامات اطلاعاتی پنهان شده‌ اند، تفاوتی با موارد ذکر شده ندارند، زیرا از اسکریپت‌ های مبهم PowerShell برای پنهان کردن آسیب‌ رسان‌ ترین بخش‌ های حملات، از جمله عملکردهای فرمان و کنترل (C2) استفاده می‌ کنند.

نفوذ ها از طریق یک کمپین spear-phishing است که سعی می کند اهداف خود را برای بارگیری آرشیو های ZIP مشکوک که شامل یک فایل Excel با یک Macro مخرب است که با سرور C2 هکر ارتباط برقرار می کند یا یک فایل PDF که یک بار مخرب را به سیستم افراد آلوده تزریق می کند، ترغیب کند.

FBI، CISA، CNMF و NCSC می‌ گویند: «به‌ علاوه، این گروه از مجموعه‌ های بدافزار متعددی از جمله PowGoop، Small Sieve، Canopy/Starwhale، Mori، و POWERSTATS برای بارگیری بدافزار، دسترسی Backdoor، تداوم و خروج استفاده می‌کند.»

در حالی که PowGoop به عنوان یک Loader مسئول دانلود اسکریپت‌ های مرحله دوم PowerShell عمل می‌ کند، Small Sieve به عنوان یک Implement مبتنی بر Python معرفی می‌ شود که برای حفظ جای پایی در شبکه با استفاده از API تلگرام برای ارتباطات C2 برای فرار از شناسایی استفاده می‌ شود.

دیگر بخش‌ های کلیدی بد افزار عبارتند از Canopy، یک فایل اسکریپت ویندوز (WSF) که برای جمع‌آوری و انتقال ابر داده‌ های سیستم به یک آدرس IP کنترل‌ شده توسط هکر استفاده می‌ شود، و دو Backdoor دسترسی مداوم به نام‌ های Mori و POWERSTATS که برای اجرای دستورات دریافتی از C2 و نگهداری استفاده می‌ شوند.

همچنین یک Backdoor جدید PowerShell به تازگی شناسایی شده است که برای اجرای دستورات دریافتی از مهاجم استفاده می شود.

برای ایجاد موانع برای حملات احتمالی، آژانس‌ ها به سازمان‌ ها توصیه می‌ کنند تا در هر کجا که میتوانند از احراز هویت چند عاملی استفاده کنند، استفاده از امتیازات مدیر را محدود کنند، حفاظت‌ های فیشینگ را پیاده‌ سازی کنند و آسیب‌ پذیری‌ های مورد سوء استفاده شناخته شده را اصلاح کنند.

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.