MuddyWater Iran Menggunakan Malware Baru Dalam Serangannya

Mark Teknologi
Mark Teknologi
November 30, 2023


Badan keamanan siber di Inggris dan Amerika Serikat telah menemukan malware baru yang digunakan oleh organisasi advanced persistent threat (APT) yang disponsori pemerintah Iran dalam serangan terhadap jaringan pemerintah dan bisnis di seluruh dunia.


"Aktor MuddyWater berada pada posisi yang baik untuk memasok data yang dicuri dan akses ke pemerintah Iran dan untuk berbagi ini dengan aktor cyber bermusuhan lainnya," kata badan tersebut.


Biro Investigasi Federal (FBI), Badan Keamanan Siber dan Infrastruktur (CISA), Komando Cyber National Mission Force (CNMF) Amerika Serikat, dan Pusat Keamanan Cyber Nasional Inggris mengeluarkan saran bersama (NCSC).


Tahun ini, aktor cyberespionage itu terungkap sebagai bagian dari Kementerian Intelijen dan Keamanan Iran (MOIS) yang melakukan operasi jahat terhadap berbagai organisasi pemerintah dan sektor swasta di Asia, Afrika, Eropa, dan Amerika Utara, termasuk telekomunikasi, pertahanan, pemerintah daerah, dan sektor minyak dan gas alam.


MuddyWater juga dikenal dengan alias Earth Vetala, MERCURY, Static Kitten, Seedworm, dan TEMP. Zagros dalam komunitas cybersecurity yang lebih besar, dengan organisasi yang diakui untuk serangan cyber untuk mendukung tujuan MOIS dari sekitar 2018.


Selain kerentanan yang diungkapkan secara publik, tim peretas sebelumnya telah terdeteksi menggunakan alat sumber terbuka untuk mendapatkan akses ke data sensitif, mengirimkan ransomware, dan mempertahankan kegigihan di jaringan korban.



Analisis lebih lanjut yang dilakukan oleh Cisco Talos akhir bulan lalu menemukan kampanye malware yang sebelumnya tidak diketahui yang ditujukan untuk menargetkan perusahaan swasta Turki dan lembaga pemerintah dengan tujuan membangun backdoor berbasis PowerShell.


Operasi terbaru yang diungkapkan oleh badan-badan intelijen serupa karena mereka menggunakan skrip PowerShell yang dikaburkan untuk menyamarkan bagian paling berbahaya dari serangan, termasuk fungsi komando dan kontrol (C2).


Intrusi dimungkinkan oleh kampanye spear-phishing yang mencoba menipu korbannya untuk mengunduh arsip ZIP mencurigakan yang berisi file Excel dengan makro berbahaya yang berkomunikasi dengan server C2 aktor atau file PDF yang menjatuhkan muatan berbahaya pada sistem yang terinfeksi.


"Selain itu, organisasi ini menggunakan banyak paket malware, termasuk PowGoop, Small Sieve, Canopy / Starwhale, Mori, dan POWERSTATS, untuk pemuatan malware, akses backdoor, persistensi, dan eksfiltrasi," kata FBI, CISA, CNMF, dan NCSC.


Small Sieve didefinisikan sebagai implan berbasis Python yang digunakan untuk menjaga pijakan di jaringan dengan memanfaatkan API Telegram untuk percakapan C2 untuk menghindari deteksi. PowGoop dicirikan sebagai loader yang bertanggung jawab untuk mengunduh skrip PowerShell tahap kedua.


Kanopi, File Skrip Windows (. WSF) digunakan untuk mengumpulkan dan mentransfer metadata sistem ke alamat IP yang dikendalikan musuh, dan Mori dan POWERSTATS, dua backdoors yang digunakan untuk melakukan instruksi yang diterima dari C2 dan menjaga akses permanen, adalah komponen penting lainnya dari malware.


Sebuah skrip survei untuk menyebutkan dan mengirimkan informasi tentang PC target kembali ke server C2 jarak jauh melengkapi gudang senjata MuddyWater. Backdoor PowerShell yang baru ditemukan juga ada di sana, dan digunakan untuk mengeksekusi pesanan yang diterima dari penyerang.


Badan-badan menyarankan perusahaan untuk menggunakan otentikasi multi-faktor bila memungkinkan, membatasi penggunaan kredensial administrator, menyebarkan pertahanan phishing, dan memprioritaskan patching kerentanan dieksploitasi yang diketahui untuk memberikan hambatan terhadap serangan prospektif.