WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Nhóm hacker MuddyWater từ Iran sử dụng mã độc mới, tấn công mạng toàn cầu
Các cơ quan an ninh mạng Vương quốc Anh và Hoa Kỳ vừa phát hiện một loại mã độc mới được sử dụng bởi nhóm tấn công APT do chính phủ Iran tài trợ trong các cuộc tấn công nhắm vào các mạng chính phủ và thương mại trên toàn thế giới.
Các cơ quan cho biết: "Nhóm hacker MuddyWater cung cấp dữ liệu và quyền truy cập bị đánh cắp cho chính phủ Iran và chia sẻ những dữ liệu này với các hacker khác".
MuddyWater còn được biết đến với cái tên Earth Vetala, MERCURY, Static Kitten, Seedworm và TEMP.Zagros, là nhóm hacker nổi tiếng với các hành vi tấn công mạng nhằm hỗ trợ các mục tiêu của MOIS kể từ khoảng năm 2018.
Ngoài khai thác các lỗ hổng công khai, nhóm này từng sử dụng các công cụ mã nguồn mở để truy cập vào dữ liệu nhạy cảm, triển khai ransomware và nằm vùng trên mạng nạn nhân.
Một cuộc điều tra của Cisco Talos vào cuối tháng 1/2022 phát hiện một chiến dịch tấn công bằng mã độc mới nhằm vào các tổ chức tư nhân và chính phủ của Thổ Nhĩ Kỳ với mục tiêu triển khai backdoor trên PowerShell.
Các hoạt động mới của nhóm tin tặc này cũng sử dụng những tập lệnh PowerShell bị xáo trộn để che giấu các phần gây hại nhất của các cuộc tấn công, bao gồm các chức năng lệnh và kiểm soát (C2).
Các cuộc xâm nhập được tạo điều kiện thông qua một chiến dịch lừa đảo trực tuyến cố gắng dụ các mục tiêu tải xuống các tệp lưu trữ ZIP không tin cậy chứa tệp Excel có macro độc hại giao tiếp với máy chủ C2 của hacker hoặc tệp PDF chứa đoạn mã độc hại vào hệ thống bị ảnh hưởng.
"Ngoài ra, nhóm này sử dụng nhiều bộ mã độc khác, bao gồm PowGoop, Small Sieve, Canopy / Starwhale, Mori và POWERSTATS, để tải phần mềm độc hại, truy cập backdoor, nằm vùng và xâm nhập", FBI, CISA, CNMF và NCSC cho biết.
Đáng chú ý, MuddyWater cũng sử dụng một tập lệnh khảo sát để liệt kê thông tin về máy tính nạn nhân, sau đó gửi trở lại máy chủ C2 từ xa. Đồng thời triển khai backdoor PowerShell mới để thực thi các lệnh nhận được từ hacker.
Để tránh bị tấn công, các cơ quan đang khuyến nghị các tổ chức sử dụng xác thực đa yếu tố nếu có thể, hạn chế việc sử dụng đặc quyền của quản trị viên, triển khai các biện pháp bảo vệ chống lừa đảo và ưu tiên vá các lỗ hổng đã biết đã bị khai thác.
Các cơ quan cho biết: "Nhóm hacker MuddyWater cung cấp dữ liệu và quyền truy cập bị đánh cắp cho chính phủ Iran và chia sẻ những dữ liệu này với các hacker khác".
MuddyWater còn được biết đến với cái tên Earth Vetala, MERCURY, Static Kitten, Seedworm và TEMP.Zagros, là nhóm hacker nổi tiếng với các hành vi tấn công mạng nhằm hỗ trợ các mục tiêu của MOIS kể từ khoảng năm 2018.
Ngoài khai thác các lỗ hổng công khai, nhóm này từng sử dụng các công cụ mã nguồn mở để truy cập vào dữ liệu nhạy cảm, triển khai ransomware và nằm vùng trên mạng nạn nhân.
Một cuộc điều tra của Cisco Talos vào cuối tháng 1/2022 phát hiện một chiến dịch tấn công bằng mã độc mới nhằm vào các tổ chức tư nhân và chính phủ của Thổ Nhĩ Kỳ với mục tiêu triển khai backdoor trên PowerShell.
Các hoạt động mới của nhóm tin tặc này cũng sử dụng những tập lệnh PowerShell bị xáo trộn để che giấu các phần gây hại nhất của các cuộc tấn công, bao gồm các chức năng lệnh và kiểm soát (C2).
Các cuộc xâm nhập được tạo điều kiện thông qua một chiến dịch lừa đảo trực tuyến cố gắng dụ các mục tiêu tải xuống các tệp lưu trữ ZIP không tin cậy chứa tệp Excel có macro độc hại giao tiếp với máy chủ C2 của hacker hoặc tệp PDF chứa đoạn mã độc hại vào hệ thống bị ảnh hưởng.
"Ngoài ra, nhóm này sử dụng nhiều bộ mã độc khác, bao gồm PowGoop, Small Sieve, Canopy / Starwhale, Mori và POWERSTATS, để tải phần mềm độc hại, truy cập backdoor, nằm vùng và xâm nhập", FBI, CISA, CNMF và NCSC cho biết.
Đáng chú ý, MuddyWater cũng sử dụng một tập lệnh khảo sát để liệt kê thông tin về máy tính nạn nhân, sau đó gửi trở lại máy chủ C2 từ xa. Đồng thời triển khai backdoor PowerShell mới để thực thi các lệnh nhận được từ hacker.
Để tránh bị tấn công, các cơ quan đang khuyến nghị các tổ chức sử dụng xác thực đa yếu tố nếu có thể, hạn chế việc sử dụng đặc quyền của quản trị viên, triển khai các biện pháp bảo vệ chống lừa đảo và ưu tiên vá các lỗ hổng đã biết đã bị khai thác.
Nguồn: The Hacker News