США связали хакерскую группировку MuddyWater с иранской разведкой

[Artifact]

Киберкомандование поделилось несколькими образцами вредоносных программ, используемых иранской APT.

Киберкомандование США связало поддерживаемую Ираном хакерскую группировку MuddyWatter с Министерством информации и национальной безопасности Ирана.
Министерство является ведущим разведывательным агентством правительства Ирана, которому поручено координировать разведку и контрразведку страны, а также тайные операции в поддержку целей исламского режима за пределами Ирана.
«MuddyWater является частью групп, ведущих иранскую разведывательную деятельность, и было замечено, что они используют различные методы для поддержания доступа к сетям жертв», — сообщили в Киберкомандовании США.
Группа MuddyWatter (также известная как SeedWorm и TEMP.Zagros) была впервые обнаружена в 2017 году и известна в основном атаками на ближневосточные объекты. Хотя спонсируемая Ираном APT является относительно новой группировкой, она активна осуществляет атаки на телекоммуникации, государственные IT-услуги и нефтяную промышленность. MuddyWater вскоре расширила свои атаки на правительственные и оборонные организации в Центральной и Юго-Западной Азии, а также на многочисленные частные и общественные организации из Северной Америки, Европы и Азии.
Киберкомандование в сотрудничестве с ФБР также поделилось несколькими образцами вредоносных программ, используемых операторами иранской хакерской группировки в шпионской и вредоносной деятельности. Примеры включают несколько вариантов загрузчика DLL-библиотек PowGoop, предназначенного для расшифровки и запуска загрузчика вредоносных программ на основе PowerShell.
Образцы JavaScript, развернутые на скомпрометированных с помощью загрузчика PowGoop устройствах, и образец бэкдора Mori с возможностями связи через туннелирование DNS также были опубликованы на платформе VirusTotal.
«Если пользователь увидит комбинацию этих инструментов, значит иранская MuddyWater могла проникнуть в сеть. MuddyWater использует различные методы для поддержания доступа к сетям жертв. К ним относятся сторонняя загрузка DLL-библиотек для того, чтобы заставить легитимные программы запускать вредоносное ПО, и обфускация PowerShell-скриптов для сокрытия функций управления и контроля», — отметило военное командование США.