Οι πράκτορες επιβολής του νόμου των ΗΠΑ και του Ηνωμένου Βασιλείου μοιράστηκαν σήμερα πληροφορίες σχετικά με νέο κακόβουλο λογισμικό που αναπτύχθηκε από την υποστηριζόμενη από το Ιράν ομάδα hacking MuddyWatter σε επιθέσεις που στοχεύουν κρίσιμες υποδομές παγκοσμίως.
Αυτό αποκαλύφθηκε σήμερα σε μια κοινή συμβουλευτική που εκδόθηκε από την CISA, το Ομοσπονδιακό Γραφείο Ερευνών (FBI), την Εθνική Δύναμη Κυβερνοαποστολής της Διοίκησης Κυβερνοχώρου των ΗΠΑ (CNMF), το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC-UK) και την Εθνική Υπηρεσία Ασφαλείας ( NSA).
Η MuddyWater “στοχεύει μια σειρά από κυβερνητικούς και ιδιωτικούς οργανισμούς σε όλους τους τομείς – συμπεριλαμβανομένων των τηλεπικοινωνιών, της άμυνας, της τοπικής αυτοδιοίκησης και του πετρελαίου και φυσικού αερίου – στην Ασία, την Αφρική, την Ευρώπη και τη Βόρεια Αμερική”, ανέφεραν.
Αυτή η ομάδα απειλών χρησιμοποιεί πολλαπλά στελέχη κακόβουλου λογισμικού—συμπεριλαμβανομένων των PowGoop, Canopy/Starwhale, Mori, POWERSTATS, καθώς και προηγουμένως άγνωστων—για να αναπτύξει κακόβουλο λογισμικό δεύτερου σταδίου σε παραβιασμένα συστήματα, για πρόσβαση σε κερκόπορτα, για διατήρηση της επιμονής και για εξαγωγή δεδομένων.
Μεταξύ του κακόβουλου λογισμικού που αναλύθηκε σήμερα, οι υπηρεσίες των ΗΠΑ και του Ηνωμένου Βασιλείου τόνισαν μια νέα κερκόπορτα Python που χρησιμοποιείται από τους χειριστές MuddyWater για επιμονή και μια κερκόπορτα PowerShell που χρησιμοποιείται για την κρυπτογράφηση καναλιών επικοινωνίας εντολών και ελέγχου (C2).
“Το Small Sieve παρέχει βασική λειτουργικότητα που απαιτείται για τη διατήρηση και επέκταση της θέσης στην υποδομή των θυμάτων και την αποφυγή εντοπισμού χρησιμοποιώντας προσαρμοσμένα σχήματα συσκότισης συμβολοσειρών και κυκλοφορίας μαζί με τη διεπαφή προγραμματισμού εφαρμογής Telegram Bot (API)”, αναφέρει η συμβουλευτική.
“Συγκεκριμένα, τα beacons και οι εργασίες του Small Sieve εκτελούνται χρησιμοποιώντας το Telegram API μέσω του Hypertext Transfer Protocol Secure (HTTPS) και τα δεδομένα εργασιών και beaconing συγχέονται μέσω ενός σχήματος κωδικοποίησης εναλλαγής εξαγωνικών byte σε συνδυασμό με μια ασαφή συνάρτηση Base64.”