伊朗黑客組織將采用全新技術攻擊多國

Deep Instinct的威脅研究團隊發現了MuddyWater APT(又名SeedWorm、TEMP.Zagros和Static Kitten)進行的一項新活動，目標是亞美尼亞、阿塞拜疆、埃及、伊拉克、以色列、約旦、阿曼、卡塔爾、塔吉克斯坦和阿拉伯聯合酋長國。

專家們指出，該運動展示了最新的TTP。

第一次MuddyWater攻擊發生在2017年底，目標是中東地區的實體。

多年來，該組織不斷發展，不斷增加新的攻擊技術。而后，該組織還將歐洲和北美國家作為攻擊目標。今年1月，美國網絡司令部(USCYBERCOM)正式將MuddyWater APT與伊朗情報與安全部(MOIS)聯系起來。

Deep Instinct觀察到，9月份開始的這次活動與過去的活動不同，它使用了一種名為“Syncro”的新遠程管理工具。MuddyWater并不是唯一一個濫用Syncro的威脅者，該工具也被用于BatLoader和Luna Moth活動。

APT小組使用HTML附件作為誘餌，并使用其他提供者托管包含遠程管理工具安裝程序的檔案。

HTML附件通常被發送給收件人，而不會被防病毒和電子郵件安全解決方案阻止。

今年7月，威脅參與者被發現使用名為“promotion.msi”的安裝程序提供的ScreenConnect遠程管理工具。名字是“促銷”。Msi也用于當前活動中雇用的安裝人員。

此實例正在與另一個MuddyWater MSI安裝程序進行通信，該安裝程序名為Ertiqa.msi，這是一個以沙特人的名字命名的組織。在當前的浪潮中，MuddyWater使用了相同的名稱。Ertiqa.msi，但與Syncro安裝程序。”Deep Instinct的分析，“目標地理位置和部門也與MuddyWater之前的目標一致。綜合來看，這些指標為我們提供了足夠的證據，證實這就是MuddyWater。”

Syncro提供了一個21天的試用，提供了一個功能齊全的web GUI來完全控制計算機。

"您選擇MSP要使用的子域。”報告繼續說道，“在調查MuddyWater使用的一些安裝程序時，我們發現每封獨特的郵件都使用了一個新的MSI。在大多數情況下，MuddyWater使用單個MSI安裝程序的單個子域。”

專家們還分享了最近活動的妥協指標(ioc)。