Иранская государственная хакерская группа MuddyWater проводит крупномасштабную шпионскую кампанию, нацеленную на более чем 100 правительственных и коммерческих организаций. Основной удар кампании направлен на регион Ближнего Востока и Северной Африки (MENA). Для проникновения в сети используется новый бэкдор под названием Phoenix, распространяемый через скомпрометированный почтовый ящик. Конечной целью операций является сбор разведывательных данных с высокопоставленных целей.
За атаками стоит группировка MuddyWater, действующая как минимум с 2017 года и связанная с Министерством разведки и безопасности Ирана (MOIS). Эта группа известна под множеством псевдонимов, среди которых Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm (ранее Mercury), Seedworm, Static Kitten, TA450, TEMP.Zagros и Yellow Nix.
Атака начинается с фишинговых писем, отправленных с легитимного, но взломанного почтового аккаунта. Для доступа к этому ящику и сокрытия своего реального местоположения злоумышленники использовали коммерческий сервис NordVPN. Письма содержат вредоносные документы Microsoft Word, которые при открытии предлагают пользователю включить макросы для просмотра содержимого.
Как только жертва активирует макросы, исполняется вредоносный код Visual Basic for Application (VBA). Этот код действует как дроппер: он декодирует и записывает на диск загрузчик под названием FakeUpdate. Основная задача FakeUpdate — развернуть и запустить основной вредоносный компонент.
Ключевым инструментом в арсенале группы является бэкдор Phoenix. Загрузчик FakeUpdate содержит его зашифрованную с помощью алгоритма AES версию и обеспечивает ее запуск в системе. В текущей кампании используется Phoenix v4, который является облегченной и усовершенствованной версией более раннего импланта BugSleep, также созданного MuddyWater.
Бэкдор Phoenix v4 предоставляет операторам широкий набор возможностей для контроля над зараженной системой. Он способен собирать системную информацию, обеспечивать закрепление в сети для долгосрочного доступа, запускать интерактивную оболочку для выполнения команд, а также загружать и выгружать файлы с командного сервера.
Для расширения своего присутствия в сети и повышения скрытности MuddyWater комбинирует кастомное ПО с легитимными коммерческими инструментами. Группа использует утилиты для удаленного администрирования, такие как PDQ и Action1. Это позволяет им маскировать свою активность под действия системных администраторов.
Помимо шпионажа, хакеры занимаются кражей учетных данных. Для этого они разворачивают собственный стилер, нацеленный на популярные веб-браузеры, включая Brave, Google Chrome, Microsoft Edge и Opera. Этот инструмент, как и утилиты RMM, размещался на командном сервере (C2) с IP-адресом
Расследование и атрибуцию этой кампании провела сингапурская компания по кибербезопасности Group-IB. В своем техническом отчете исследователи Махмуд Зохди и Мансур Альхмуд детально описали тактики, методы и процедуры группы. Впервые использование бэкдора Phoenix было задокументировано специалистами Group-IB месяцем ранее.
Изображение носит иллюстративный характер
За атаками стоит группировка MuddyWater, действующая как минимум с 2017 года и связанная с Министерством разведки и безопасности Ирана (MOIS). Эта группа известна под множеством псевдонимов, среди которых Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm (ранее Mercury), Seedworm, Static Kitten, TA450, TEMP.Zagros и Yellow Nix.
Атака начинается с фишинговых писем, отправленных с легитимного, но взломанного почтового аккаунта. Для доступа к этому ящику и сокрытия своего реального местоположения злоумышленники использовали коммерческий сервис NordVPN. Письма содержат вредоносные документы Microsoft Word, которые при открытии предлагают пользователю включить макросы для просмотра содержимого.
Как только жертва активирует макросы, исполняется вредоносный код Visual Basic for Application (VBA). Этот код действует как дроппер: он декодирует и записывает на диск загрузчик под названием FakeUpdate. Основная задача FakeUpdate — развернуть и запустить основной вредоносный компонент.
Ключевым инструментом в арсенале группы является бэкдор Phoenix. Загрузчик FakeUpdate содержит его зашифрованную с помощью алгоритма AES версию и обеспечивает ее запуск в системе. В текущей кампании используется Phoenix v4, который является облегченной и усовершенствованной версией более раннего импланта BugSleep, также созданного MuddyWater.
Бэкдор Phoenix v4 предоставляет операторам широкий набор возможностей для контроля над зараженной системой. Он способен собирать системную информацию, обеспечивать закрепление в сети для долгосрочного доступа, запускать интерактивную оболочку для выполнения команд, а также загружать и выгружать файлы с командного сервера.
Для расширения своего присутствия в сети и повышения скрытности MuddyWater комбинирует кастомное ПО с легитимными коммерческими инструментами. Группа использует утилиты для удаленного администрирования, такие как PDQ и Action1. Это позволяет им маскировать свою активность под действия системных администраторов.
Помимо шпионажа, хакеры занимаются кражей учетных данных. Для этого они разворачивают собственный стилер, нацеленный на популярные веб-браузеры, включая Brave, Google Chrome, Microsoft Edge и Opera. Этот инструмент, как и утилиты RMM, размещался на командном сервере (C2) с IP-адресом
159.198.36[.]115. Расследование и атрибуцию этой кампании провела сингапурская компания по кибербезопасности Group-IB. В своем техническом отчете исследователи Махмуд Зохди и Мансур Альхмуд детально описали тактики, методы и процедуры группы. Впервые использование бэкдора Phoenix было задокументировано специалистами Group-IB месяцем ранее.
