Иранская государственная хакерская группировка MuddyWater проводит масштабную шпионскую кампанию, атакуя более 100 организаций по всему региону Ближнего Востока и Северной Африки, включая государственные структуры, международные организации и телекоммуникационные компании. Источник: The hackernews
В рамках кампании злоумышленники использовали взломанный аккаунт электронной почты для распространения бэкдора под названием Phoenix.
По данным сингапурской компании по кибербезопасности Group-IB, цель атак заключается в проникновении в особо важные объекты и сборе разведывательной информации. Более трех четвертей целей кампании составляют посольства, дипломатические миссии, министерства иностранных дел и консульства.
Специалисты отметили, что MuddyWater получил доступ к взломанному почтовому ящику через легитимный сервис NordVPN и использовал его для отправки фишинговых писем, которые выглядели как подлинная корреспонденция. Получатели открывали заражённые документы Microsoft Word, активируя макросы, что запускало выполнение вредоносного кода Visual Basic for Application (VBA) и развертывало бэкдор Phoenix версии 4. Бэкдор запускается через загрузчик FakeUpdate, а полезная нагрузка Phoenix зашифрована с помощью AES.
Группировка MuddyWater, также известная под именами Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm и другими, предположительно связана с Министерством разведки и безопасности Ирана (MOIS) и активна с 2017 года. В сети были обнаружены два варианта Phoenix, которые позволяют собирать системную информацию, устанавливать персистентность, запускать интерактивную оболочку и загружать или выгружать файлы.
Кроме того, на командном сервере злоумышленников были обнаружены утилиты удалённого мониторинга и управления (RMM) и инструменты для кражи учётных данных веб-браузеров Brave, Google Chrome, Microsoft Edge и Opera. Исследователи отмечают, что использование обновлённых версий вредоносного ПО и интеграция с легитимными инструментами повышают скрытность и устойчивость атак, что делает кампанию особенно опасной.
Ранее сообщалось, что иранские хакеры расширяют кибершпионаж, нацелившись на Европу и Северную Америку.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet