美國網路司令部週三表示,被稱為MuddyWater的駭客組織與伊朗情報部門有關。
"MuddyWater是一個伊朗威脅組織;此前,業界報告稱,MuddyWater主要針對中東國家,也針對歐洲和北美國家,"網路司令部在一份通知中表示。
"渾水是伊朗情報和安全部(MOIS)的下屬機構。
在Twitter上,網路司令部表示,MuddyWater正在使用一套惡意軟體進行間諜和惡意活動,其歸屬由聯邦調查局國家網路調查聯合特遣部隊提供。
"MOIS駭客組織MuddyWater正在使用開原始碼來攻擊惡意軟體,"它說。
"MuddyWater和其他伊朗MOIS APT正在使用DNS隧道與其C2基礎設施進行通訊;如果您在網路上看到這種情況,請查詢可疑的出站流量。
除了通知之外,MuddyWater惡意軟體樣本還上傳到VirusTotal,包括PowGoop DDL側載入程式和使用DNS隧道的Mori後門。
"Goopdate.dll使用DLL旁載入在執行非惡意可執行檔案GoogleUpdate.exe時執行。然後.dll將取消混淆goopdate.dat,這是一個用於消除混淆和執行config.txt的PowerShell指令碼,"Cyber Command在詳細介紹PowGoop如何工作的一個例項時說道。
"Config.txt是一個PowerShell指令碼,用於與PowGoop C2伺服器建立網路通訊。它使用修改後的 base64 編碼機制向 C2 伺服器傳送資料或從 C2 伺服器傳送資料。C2 伺服器的 IP 通常以配置.txt硬編碼。
