AS dan Inggris Ungkap Malware Baru yang Digunakan Hacker MuddyWater

Internet Sehat : Badan penegak hukum dan keamanan siber AS dan Inggris berbagi informasi tentang malware baru yang disebarkan oleh kelompok hacker MuddyWatter yang didukung Iran dalam serangan yang menargetkan infrastruktur penting di seluruh dunia.

Hal ini terungkap hari ini dalam nasihat bersama yang dikeluarkan oleh CISA, Biro Investigasi Federal (FBI), US Cyber Command’s Cyber National Mission Force (CNMF), UK’s National Cyber Security Centre (NCSC-UK), dan Badan Keamanan Nasional AS (NSA).

MuddyWater menargetkan berbagai organisasi pemerintah dan sektor swasta lintas sektor termasuk telekomunikasi, pertahanan, pemerintah daerah, dan minyak dan gas alam di Asia, Afrika, Eropa, dan Amerika Utara. Kelompok ancaman ini menggunakan beberapa jenis malware, termasuk PowGoop, Canopy/Starwhale, Mori, POWERSTATS, serta yang sebelumnya tidak dikenal untuk menyebarkan malware tahap kedua pada sistem yang disusupi.

Di antara malware yang dirinci, agensi AS dan Inggris menyoroti pintu belakang Python baru (dijuluki Small Sieve) yang digunakan oleh operator MuddyWater untuk ketekunan dan pintu belakang PowerShell yang digunakan untuk mengenkripsi saluran komunikasi perintah dan kontrol (C2).

Small Sieve menyediakan fungsionalitas dasar yang diperlukan untuk mempertahankan dan memperluas pijakan di infrastruktur korban dan menghindari deteksi dengan menggunakan string khusus dan skema kebingungan lalu lintas bersama dengan antarmuka pemrograman aplikasi (API) Telegram Bot.

Grup spionase siber MuddyWatter (alias Earth Vetala, MERCURY, Static Kitten, Seedworm, dan TEMP.Zagros) telah aktif setidaknya sejak 2017. Grup ini dikenal karena memfokuskan serangannya pada entitas Timur Tengah dan terus meningkatkan perangkat malwarenya. Meskipun relatif baru, kelompok ancaman yang disponsori Iran ini sangat aktif, dan menargetkan telekomunikasi, pemerintah (layanan TI), dan organisasi industri minyak.

Grup ini juga memperluas serangan ke entitas pemerintah dan pertahanan di Asia Tengah dan Barat Daya, serta organisasi swasta dan publik dari Amerika Utara, Eropa, dan Asia. Pada Januari 2022, MuddyWatter secara resmi dikaitkan dengan Kementerian Intelijen dan Keamanan Iran (MOIS), badan intelijen pemerintah terkemuka negara itu, oleh Komando Siber AS (USCYBERCOM).

Peringatan ini mengikuti peringatan serupa yang dikeluarkan sebelumnya yang menghubungkan malware baru yang dijuluki Cyclops Blink ke grup peretasan Sandworm yang didukung Rusia. Operator Sandworm telah menggunakan Cyclops Blink setidaknya sejak Juni 2019 untuk membangun botnet baru menggantikan VPNFilter dengan menjerat WatchGuard Firebox yang rentan dan perangkat jaringan Small Office/Home Office (SOHO) lainnya.

Sumber : Bleeping Computer