Xakep #305. Многошаговые SQL-инъекции
Власти США и Великобритании предупредили, что иранская хак-группа MuddyWater (она же Earth Vetala, MERCURY, Static Kitten, Seedworm и TEMP.Zagros) использует новую малварь в атаках, направленных на объекты критически важной инфраструктуры по всему миру.
Целями атак группы становятся частные и государственные телекоммуникационные компании, оборонные предприятия, местные органы власти, нефтяные и газовые компании в Азии, Африке, Европе и Северной Америке.
Совместный отчет был опубликован Национальным центром кибербезопасности Великобритании (NCSC), Федеральным бюро расследований США (ФБР), Киберкомандованием США (CNMF), Агентством инфраструктуры и кибербезопасности США (CISA), Агентством национальной безопасности США (АНБ).
«Участники MuddyWater могут предоставлять украденные данные и доступы как иранскому правительству, так и делиться ими с другими злоумышленниками в киберпространстве», — говорят аналитики.
Для своих кампаний группировка использует ряд разных вредоносов, включая PowGoop, Canopy/Starwhale, Mori, POWERSTATS, а также ранее неизвестную малварь для развертывания пейлоадов второго уровня в скомпрометированных системах, бэкдор-доступа, поддержания устойчивого присутствия в системе и хищения данных.
Среди описанных теперь агентствами США и Великобритании вредоносов выделяется ранее неизвестный бэкдор на Python, получивший название Small Sieve (применяется для обеспечения устойчивости), а также PowerShell- бэкдор, используемый для шифрования каналов связи с управляющими серверами.
Сообщается, что Small Sieve маскирует вредоносные исполняемые файлы, а также использует имена файлов и имена ключей реестра, связанные с Windows Defender, чтобы избегать обнаружения и помочь хакерам расширить присутствие в скомпрометированной сети.
«Small Sieve предоставляет [хакерам] базовые функции, необходимые для поддержания и расширения плацдарма в инфраструктуре жертвы, а также предотвращения обнаружения за счет использования кастомных схем обфускации кода и трафика, наряду с API для Telegram бота. В частности, маяки и постановка задач для Small Sieve работают через Telegram API поверх HTTPS, а данные проходят обфускацию с помощью техники hex byte swapping в сочетании с Base64», — гласит документ.