Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
MITRE ATT&CK - Инструмент Mori
Каталоги
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Риски
Каталоги
MITRE ATT&CK
Инструмент
Mori
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Mori

Mori is a backdoor that has been used by MuddyWater since at least January 2022.(Citation: DHS CISA AA22-055A MuddyWater February 2022)(Citation: CYBERCOM Iranian Intel Cyber January 2022)
ID: S1047
Type: MALWARE
Platforms: Windows
Version: 1.0
Created: 30 Sep 2022
Last Modified: 17 Oct 2022

Techniques Used
Domain ID Name Use
Enterprise T1071 .001 Application Layer Protocol: Web Protocols

Mori can communicate using HTTP over IPv4 or IPv6 depending on a flag set.(Citation: DHS CISA AA22-055A MuddyWater February 2022)
.004 Application Layer Protocol: DNS

Mori can use DNS tunneling to communicate with C2.(Citation: DHS CISA AA22-055A MuddyWater February 2022)(Citation: CYBERCOM Iranian Intel Cyber January 2022)

Enterprise T1132 .001 Data Encoding: Standard Encoding

Mori can use Base64 encoded JSON libraries used in C2.(Citation: DHS CISA AA22-055A MuddyWater February 2022)
Enterprise T1001 .001 Data Obfuscation: Junk Data

Mori has obfuscated the FML.dll with 200MB of junk data.(Citation: DHS CISA AA22-055A MuddyWater February 2022)
Enterprise T1070 .004 Indicator Removal: File Deletion

Mori can delete its DLL file and related files by Registry value.(Citation: DHS CISA AA22-055A MuddyWater February 2022)
Enterprise T1218 .010 System Binary Proxy Execution: Regsvr32

Mori can use `regsvr32.exe` for DLL execution.(Citation: DHS CISA AA22-055A MuddyWater February 2022)

Groups That Use This Software
ID Name References
G0069 MuddyWater

(Citation: DHS CISA AA22-055A MuddyWater February 2022)

References

  1. Cyber National Mission Force. (2022, January 12). Iranian intel cyber suite of malware uses open source tools. Retrieved September 30, 2022.
  2. FBI, CISA, CNMF, NCSC-UK. (2022, February 24). Iranian Government-Sponsored Actors Conduct Cyber Operations Against Global Government and Commercial Networks. Retrieved September 27, 2022.
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.