CISA แจ้งเตือนความปลอดภัยกลุ่ม MuddyWater

สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกาได้ออกคำเตือนเกี่ยวกับกลุ่มแฮ็คที่ได้รับการสนับสนุนจากหน่วยข่าวกรองอิหร่านซึ่งมีชื่อว่า MuddyWater และตามคำเตือน กลุ่มนี้เต็มไปด้วยผู้คุกคามแบบถาวร (APT) มีรายงานว่ากำลังทำการจารกรรมโครงสร้างพื้นฐานที่สำคัญที่ปฏิบัติการในเอเชีย แอฟริกา ยุโรป และอเมริกาเหนือ และพบว่าส่วนใหญ่กำหนดเป้าหมายอุตสาหกรรมตั้งแต่โทรคมนาคม การป้องกันประเทศ รัฐบาลท้องถิ่น และน้ำมัน & ก๊าซธรรมชาติ

CISA อ้างว่า MuddyWater เป็นที่รู้จักในชื่ออื่น ๆ Earth Vetla, Mercury, Static Kitten, Seedworm และ TEMP Zagros ถูกพบว่าให้ข้อมูลที่ถูกขโมยและการเข้าถึงเครือข่ายคอมพิวเตอร์แก่ทั้งรัฐบาลอิหร่านและกลุ่มภัยคุกคามอื่น ๆ ตั้งแต่ปี 2018 และได้รับทุนจากกระทรวงอิหร่าน ของหน่วยสืบราชการลับและความปลอดภัย (MOIS)

จากการศึกษาที่จัดทำโดย CISA ร่วมกับ FBI และ NCSC นักแสดง APT สามารถโหลด DLLS ด้านข้างได้ และจะบังคับให้โปรแกรมที่ถูกกฎหมายเรียกใช้การเข้าถึงมัลแวร์/แบ็คดอร์ และฟังก์ชัน C2 จะเกิดขึ้นบนคอมพิวเตอร์ที่ตกเป็นเหยื่อด้วยการสร้างความสับสนให้กับ PowerShell Scripts การย้ายไปยังการแจ้งเตือนทางไซเบอร์อื่น ๆ ที่ออกโดย CISA พบว่าผู้คุกคามใช้ประโยชน์จากช่องโหว่บนเซิร์ฟเวอร์ Zabbix ในทางเทคนิค Zabbix เป็นซอฟต์แวร์โอเพ่นซอร์สที่พร้อมใช้สำหรับตรวจสอบเซิร์ฟเวอร์ เครือข่ายคอมพิวเตอร์ VM และส่วนประกอบระบบคลาวด์ และเพิ่งตรวจพบในการวิเคราะห์ความปลอดภัยว่าความอ่อนไหวอาจอนุญาตให้มีการเรียกใช้โค้ดจากระยะไกลด้วยสิทธิ์ของรูท

ทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของยูเครน (CERT) ที่ไม่ได้ดำเนินการในบันทึกชั่วคราวเนื่องจากสงครามระหว่างรัสเซียและยูเครนได้เผยแพร่คำเตือนเมื่อสองสามสัปดาห์ก่อนออกจากเซิร์ฟเวอร์ Zabbix ที่มีช่องโหว่สองจุดซึ่งคาดว่าจะได้รับการแก้ไขภายในวันที่ 8 มีนาคม 2022.

MuddyWater Cyber Alert issued by CISA