Cybersecurity-Agenturen aus Großbritannien und den USA haben eine neue Malware aufgedeckt, die von der von der iranischen Regierung gesponserten APT-Gruppe (Advanced Persistent Threat) bei Angriffen auf Regierungs- und Unternehmensnetzwerke weltweit eingesetzt wird.
„Die MuddyWater-Akteure sind in der Lage, der iranischen Regierung gestohlene Daten und Zugänge zur Verfügung zu stellen und diese mit anderen bösartigen Cyber-Akteuren zu teilen“, so die Agenturen.
Die gemeinsame Empfehlung stammt vom Federal Bureau of Investigation (FBI), der Cybersecurity and Infrastructure Security Agency (CISA), der U.S. Cyber Command Cyber National Mission Force (CNMF) und dem National Cyber Security Centre (NCSC) des Vereinigten Königreichs.
In diesem Jahr wurde bekannt, dass der Cyberspionage-Akteur als Teil des iranischen Ministeriums für Nachrichtendienst und Sicherheit (MOIS) bösartige Operationen durchführt, die auf eine Vielzahl von staatlichen und privaten Organisationen in Asien, Afrika, Europa und Nordamerika abzielen, darunter Telekommunikations-, Verteidigungs-, Kommunalverwaltungs- sowie Öl- und Erdgasunternehmen.
MuddyWater wird von der breiteren Cybersicherheits-Community auch unter den Namen Earth Vetala, MERCURY, Static Kitten, Seedworm und TEMP.Zagros verfolgt. Die Gruppe ist seit etwa 2018 für Cyber-Offensiven zur Unterstützung der Ziele des MOIS bekannt.
Neben der Ausnutzung öffentlich gemeldeter Schwachstellen wurde die Gruppe in der Vergangenheit dabei beobachtet, wie sie Open-Source-Tools einsetzte, um sich Zugang zu sensiblen Daten zu verschaffen, Ransomware zu installieren und sich in den Netzwerken der Opfer zu halten.
Eine Nachuntersuchung von Cisco Talos Ende letzten Monats deckte außerdem eine bisher nicht dokumentierte Malware-Kampagne auf, die auf türkische Privatunternehmen und staatliche Einrichtungen abzielte, um eine PowerShell-basierte Hintertür einzubauen.
Die neuen Aktivitäten, die von den Geheimdiensten aufgedeckt wurden, unterscheiden sich insofern nicht, als dass sie verschleierte PowerShell-Skripte verwenden, um die schädlichsten Teile der Angriffe zu verbergen, einschließlich der Command-and-Control-Funktionen (C2).
Die Angriffe werden über eine Spear-Phishing-Kampagne durchgeführt, die versucht, die Zielpersonen dazu zu bringen, verdächtige ZIP-Archive herunterzuladen, die entweder eine Excel-Datei mit einem bösartigen Makro enthalten, das mit dem C2-Server des Täters kommuniziert, oder eine PDF-Datei, die eine bösartige Nutzlast auf dem infizierten System ablegt.
„Darüber hinaus nutzt die Gruppe mehrere Malware-Sets – darunter PowGoop, Small Sieve, Canopy/Starwhale, Mori und POWERSTATS – zum Laden von Malware, für Backdoor-Zugang, Persistenz und Exfiltration“, so FBI, CISA, CNMF und NCSC.
Während PowGoop als Loader fungiert, der PowerShell-Skripte der zweiten Stufe herunterlädt, wird Small Sieve als Python-basiertes Implantat beschrieben, das dazu dient, im Netzwerk Fuß zu fassen, indem es die Telegram-API für die C2-Kommunikation nutzt, um die Entdeckung zu umgehen.
Weitere wichtige Schadprogramme sind Canopy, eine Windows Script File (.WSF), die System-Metadaten sammelt und an eine vom Gegner kontrollierte IP-Adresse sendet, sowie zwei Backdoors namens Mori und POWERSTATS, die dazu dienen, vom C2 empfangene Befehle auszuführen und einen dauerhaften Zugang zu erhalten.
Darüber hinaus hat MuddyWater ein Umfrageskript eingesetzt, um Informationen über die Computer der Opfer zu sammeln, die dann an den entfernten C2-Server zurückgeschickt werden. Außerdem wird eine neu entdeckte PowerShell-Backdoor eingesetzt, die dazu dient, vom Angreifer empfangene Befehle auszuführen.
Um potenziellen Angriffen einen Riegel vorzuschieben, empfehlen die Behörden den Unternehmen, überall dort, wo es möglich ist, eine Multi-Faktor-Authentifizierung zu verwenden, die Nutzung von Administratorrechten einzuschränken, Phishing-Schutzmaßnahmen zu implementieren und bekannte Sicherheitslücken vorrangig zu patchen.