Seedworm (alias MuddyWater), kelompok spionase yang memiliki kaitan dengan Iran, telah sangat aktif dalam beberapa bulan terakhir, menyerang berbagai sasaran, termasuk sejumlah besar organisasi pemerintah di Timur Tengah.
Banyak organisasi yang diserang oleh Seedworm dalam beberapa bulan terakhir juga menjadi sasaran alat yang baru ditemukan bernama PowGoop (Downloader.Covic), menunjukkan bahwa itu adalah alat yang telah dimasukkan Seedworm ke dalam gudang senjatanya.
Gelombang serangan Seedworm baru-baru ini diungkap oleh Targeted Attack Cloud Analytics dari Symantec. Di antara hal-hal yang ditandai oleh Cloud Analytics adalah kunci registri yang disebut “SecurityHealthCore”. Kode yang berada di kunci registri ini dijalankan oleh PowerShell dari tugas terjadwal. Di semua organisasi tempat kunci registri ini ditemukan, backdoor Seedworm (Pintu Belakang .Mori) kemudian terdeteksi.
Serangan ini ditemukan terhadap sasaran di Irak, Turki, Kuwait, Uni Emirat Arab, dan Georgia. Selain beberapa entitas pemerintah, organisasi di sektor telekomunikasi dan layanan komputer juga menjadi sasaran.
Aktivitas seedworm berlanjut hingga setidaknya Juli 2020, dengan pemasangan alat peretasan tambahan oleh penyerang.
Symantec mengamati Seedworm juga melakukan aktivitas pencurian kredensial serta menyiapkan terowongan ke infrastrukturnya sendiri untuk membantu pergerakan lateral menggunakan alat sumber terbuka yang disebut Secure Sockets Funneling (SSF) dan Chisel.
Detail teknis mengenai kelompok ini dan teknik serangan dapat diakses melalui link berikut;
Source: Symantec
