美国网战司令部(U.S. Cyber Command)本周披露,全球最活跃的国家级黑客集团之一的MuddyWater,其实是隶属于伊朗情报暨安全局(Iranian Ministry of Intelligence and Security,MOIS),而MOIS的其中一项任务便是识别与监控反政权人士,包括境内与境外。
安全企业早就将MuddyWater归类为伊朗国家级黑客,它既是全球最活跃的国家级黑客集团之一,也曾被微软发现正在开采ZeroLogon(CVE-2020-1472)漏洞,也曾借道Slack来攻击亚洲的某一航空公司,或是锁定电信企业展开攻击。
根据安全企业的统计,MuddyWater主要的攻击目标为中东国家,偶尔也会锁定欧洲与北美国家,通常采用鱼叉式网络钓鱼攻击,于电子邮件中嵌入合法的文件分享服务,却在该服务中附带恶意组件,目的是于受害者系统上创建后门,寻求长驻受害者系统。
美国网战司令部则说,当网络操作者于同一个网络上发现许多MuddyWater经常使用的开源工具时,该网络便可能已被MuddyWater渗透。其中一个最常见的是伪装成Google更新机制、实则用来解密与执行PowerShell恶意程序下载器的PowGoop,以及具备其它恶意功能的多款PowGoop变种。