MuddyWater Iran Pakai Malware Baru dalam Serangannya

Malware Baru MuddyWater Iran - Badan keamanan siber di Inggris dan Amerika Serikat telah menemukan malware baru yang digunakan oleh organisasi advanced persistent threat (APT) yang disponsori pemerintah Iran dalam serangan terhadap jaringan pemerintah dan bisnis di seluruh dunia.

"Aktor MuddyWater berada pada posisi yang baik untuk memasok data yang dicuri dan akses ke pemerintah Iran dan untuk berbagi ini dengan aktor cyber bermusuhan lainnya," kata badan tersebut.

Federal Bureau of Investigation (FBI), Certified Information Systems Auditor (CISA), Cyber National Mission Force (CNMF) Amerika Serikat, dan National Cyber Security Centre (NCSC) mengeluarkan saran bersama.

Tahun ini, aktor cyberespionage itu terungkap sebagai bagian dari Ministry of Intelligence and Security (MOIS) Iran yang melakukan operasi jahat terhadap berbagai organisasi pemerintah dan sektor swasta di Asia, Afrika, Eropa, dan Amerika Utara, termasuk telekomunikasi, pertahanan, pemerintah daerah, dan sektor minyak dan gas alam.

MuddyWater juga dikenal dengan alias Earth Vetala, MERCURY, Static Kitten, Seedworm, dan TEMP. Zagros dalam komunitas cybersecurity yang lebih besar, dengan organisasi yang diakui untuk serangan cyber untuk mendukung tujuan MOIS dari sekitar 2018.

Selain kerentanan yang diungkapkan secara publik, tim peretas sebelumnya telah terdeteksi menggunakan tools open source untuk mendapatkan akses ke data sensitif, mengirimkan ransomware, dan mempertahankan kegigihan di jaringan korban.

Analisa Malware Baru MuddyWater Iran

Analisis lebih lanjut yang dilakukan oleh Cisco Talos akhir bulan lalu menemukan operasi malware yang sebelumnya tidak diketahui yang ditujukan untuk menargetkan perusahaan swasta Turki dan lembaga pemerintah dengan tujuan membangun backdoor berbasis PowerShell.

Operasi terbaru yang diungkapkan oleh badan-badan intelijen serupa karena mereka menggunakan skrip PowerShell yang dikaburkan untuk menyamarkan bagian paling berbahaya dari serangan, termasuk fungsi Command and Control (C2).

Intrusi dimungkinkan oleh operasi spear-phishing yang mencoba menipu korbannya untuk mengunduh arsip ZIP mencurigakan yang berisi file Excel dengan makro berbahaya yang berkomunikasi dengan server C2 aktor atau file PDF yang berisi payload berbahaya pada sistem yang terinfeksi.

"Selain itu, organisasi ini menggunakan banyak paket malware, termasuk PowGoop, Small Sieve, Canopy / Starwhale, Mori, dan POWERSTATS, untuk pemuatan malware, akses backdoor, persistensi, dan eksfiltrasi," kata FBI, CISA, CNMF, dan NCSC.

Small Sieve didefinisikan sebagai implan berbasis Python yang digunakan untuk menjaga pijakan di jaringan dengan memanfaatkan API Telegram untuk percakapan C2 untuk menghindari deteksi. PowGoop dicirikan sebagai loader yang bertanggung jawab untuk mengunduh skrip PowerShell tahap kedua.

Kanopi, Windows Script File (. WSF) digunakan untuk mengumpulkan dan mentransfer metadata sistem ke alamat IP yang dikendalikan musuh, dan Mori dan POWERSTATS, dua backdoor yang digunakan untuk melakukan instruksi yang diterima dari C2 dan menjaga akses permanen, adalah komponen penting lainnya dari malware.

Sebuah skrip survei untuk menyebutkan dan mengirimkan informasi tentang PC target kembali ke server C2 jarak jauh melengkapi gudang senjata MuddyWater. Backdoor PowerShell yang baru ditemukan juga ada di sana, dan digunakan untuk mengeksekusi pesanan yang diterima dari penyerang.

Badan-badan menyarankan perusahaan untuk menggunakan otentikasi multi-faktor bila memungkinkan, membatasi penggunaan kredensial administrator, menyebarkan pertahanan phishing, dan memprioritaskan patching kerentanan dieksploitasi yang diketahui untuk memberikan hambatan terhadap serangan prospektif.