官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
近日,美国和英国发布警告称,一个已经确定有伊朗国家背景的黑客组织正在俄乌大战期间,针对全球目标开展数字攻击以及其他的恶意活动。
该组织名为“MuddyWater”,中文名为“浑水”,有时又被称为“SeedWorm”,自2015年就开始网络攻击和间谍活动。曾针对遍布美国、欧洲、中东和南亚的实体开展了各种活动,包括电信、政府(IT 服务)、石油和航空业领域。
据统计,浑水通常采用鱼叉式网络钓鱼攻击,于电子邮件中嵌入合法的文件分享服务,却在该服务中附带恶意组件,目的是于受害者系统上创建后门,寻求长驻受害者系统。
注意,此“浑水”组织并非美国做空机构“浑水”(Muddy Waters Research),两者不过是名字较为接近。
2022年1月,美国网络司令部首次将该组织与伊朗情报和安全部联系起来,上传了几个开源工具样本,这些工具曾被用于针对全球各地的组织。
此前,美国CISA和其他几家全球网络安全机构警告称,浑水黑客组织一直在利用Microsoft Exchange 服务器以及 Fortinet 设备中的一些已知漏洞进行攻击,这一消息在两个月后才得以披露。
目前官方部门机构仍对俄罗斯入侵乌克兰引发的潜在网络攻击保持警惕,但CISA主任Jen Easterly表示,即使我们仍然专注于俄罗斯的恶意网络攻击,也不能忽视那些拐角的地方,应警惕浑水趁俄罗斯乌克兰战争期间趁乱搞事情。
CISA在发布的公告中表示,浑水已经部署了一个名为 Small Sieve的Python 后门,它为用户提供“维护和扩大受害者基础设施立足点所需的基本功能,并通过使用自定义字符串、流量混淆方案以及Telegram 来避免检测Bot应用程序编程接口(API)。”
参考来源:https://therecord.media/iran-linked-muddywater-carrying-out-digital-attacks-worldwide-u-s-warns/