首页 > 安全 > 正文

美国和英国详细介绍了Muddywater APT组使用的新Python后门

最后更新 :2022.02.25

美国和英国网络安全机构提供了伊朗联系Muddywater使用的新恶意软件的详细信息。

Cisa,FBI,美国网络命令Cyber国家代表团(CNMF),UKS国家网络安全中心(NCSC-UK)和NSA和执法机构发表了一份关于伊朗联系Muddywater APT集团使用的新恶意软件的联合咨询(AKA  SeeiverW; Seetwern.zagros),攻击旨在全球临界基础设施。

第一个 Muddywater竞选活动是观察到在2017年底,当东部的目标实体时,专家们认为竞选“泥泞水”是由于归因于采取的袭击浪潮的困惑2017年2月和10月在沙特阿拉伯,伊拉克,以色列,阿拉伯联合酋长国,格鲁吉亚,印度,巴基斯坦,土耳其和美国迄今为止的地点。本集团通过添加新的攻击技术而在多年来演变s到它的阿森纳。截至多年来,APT集团也有针对欧洲和北美国家。 

本集团的受害者主要在电信,政府(IT服务)和石油部门。

1月,美国网络命令(USCYBERCOM) 正式链接  Muddywater APT集团到伊朗的情报和安全部(沼泽)。

根据英国和美国机构发布的联合报告,Muddywater&Nbsp;是针对性的多个部门的组织,包括亚洲,非洲,欧洲和北美的电信,国防,地方政府和石油和天然气。

报告提供了关于APT的阿森纳中多个恶意软件的技术细节小组,包括Powgoop,Canopy / Starwhale,Mori,Powerstats和以前未知的Python后门命名为小筛子。

使用Nullsoft脚本安装系统(NSIS)安装程序, gram_app分发小筛子。exe也通过添加注册表运行密钥来实现持久性。

muddywater伪装恶意可执行文件并使用与微软Windows Defender关联的文件名和注册表关键字,以避免在随意检查期间检测。APT组还在与小筛子相关联的文件名中使用了Microsoft(例如,Microsift)和Outlook的变体[T1036.005]。读取咨询。

小筛子实现后门功能,并试图通过使用自定义字符串和流量混淆方案以及电报机器人应用程序编程接口(API)来避免检测。具体地,使用电报API通过超级文本传输协议安全(HTTPS)来执行小筛子的信标和任务,并且任务和信标数据通过与混淆的BASP64功能组合的十六进制字节交换编码方案混淆。继续咨询。

- END -

看更多