Hackers ligados ao Ministério de Inteligência e Segurança do Irã estão explorando uma série de vulnerabilidades para realizar espionagem cibernética e outros ataques maliciosos contra organizações em todo o mundo, alertou um alerta conjunto de autoridades dos EUA e do Reino Unido.
A assessoria pelo FBI, Agência de Segurança Cibernética e Infraestrutura (CISA), Força de Missão Nacional Cibernética do Comando Cibernético dos EUA (CNMF) e Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) diz que um programa avançado patrocinado pelo governo iraniano operação de hackers conhecida como MuddyWater está perseguindo uma ampla gama de alvos.
Isso inclui organizações de telecomunicações, defesa, governo local e organizações de petróleo e gás natural na Ásia, África, Europa e América do Norte. De acordo com a CISA, o objetivo dos ataques é obter acesso a redes para roubar senhas e informações confidenciais “para compartilhá-las com outros cibercriminosos mal-intencionados”.
VEJO: Cibersegurança: vamos ser táticos (relatório especial ZDNet)
O grupo é conhecido por explorar vulnerabilidades relatadas publicamente e usar ferramentas e estratégias de código aberto para obter acesso a dados confidenciais nos sistemas das vítimas e implantar ransomware, disseram as agências. MuddyWater – também conhecido como Earth Vetala, Mercury, Static Kitten e Seedworm – está ativo desde pelo menos 2018.
Muitas das campanhas utilizam ataques de phishing para persuadir alvos a baixar arquivos ZIP contendo arquivos Excel com macros maliciosas ou PDFs que eliminam cargas maliciosas.
As campanhas MuddyWater implantam muitas formas diferentes de malware para atuar como carregadores e backdoors em redes comprometidas. O carregador principal é uma nova variante do malware PowGoop, que consiste em um carregador de DLL e um downloader baseado em PowerShell. O arquivo malicioso representa um arquivo legítimo assinado como um arquivo executável do Google Update.
Outra forma de malware usada nos ataques é o Small Sieve, um backdoor Python que disfarça executáveis maliciosos e usa nomes de arquivos e nomes de chaves de registro associados ao Windows Defender da Microsoft para evitar a detecção enquanto ajuda a expandir uma posição na rede comprometida.
Outros malwares usados nas campanhas iranianas incluem o Canopy, um script malicioso do Windows distribuído por e-mails de phishing, e o Mori, um backdoor que usa o encapsulamento do Domain Name System para se comunicar com a infraestrutura de controle do grupo.
As agências também identificaram um novo backdoor do PowerShell descrito como leve em funcionalidade, mas capaz de criptografar comunicações com servidores de comando e controle.
Os hackers iranianos usam uma variedade de vulnerabilidades conhecidas, que a CISA detalhou em alerta. Portanto, as organizações podem ajudar a proteger suas redes de serem comprometidas instalando atualizações de segurança para sistemas operacionais, software e firmware assim que forem lançadas. Claro, também é sugerido o uso de antivírus e mantê-lo atualizado.
A CISA também recomenda o uso de autenticação multifator sempre que possível e limita o uso de privilégios de administrador para a maioria dos usuários – ambas as ações criam barreiras adicionais para os invasores.
Também é recomendado que as organizações implementem software de controle de aplicativos para limitar os aplicativos e o código executável que podem ser executados pelos usuários. Por fim, os usuários devem ser treinados para identificar e relatar suspeitas de ataques de phishing.
MAIS SOBRE CIBERSEGURANÇA
source – www.zdnet.com
