В сети появилась информация о новом инструменте кибератак, разработанном иранской хакерской группировкой MuddyWater, также известной как Boggy Serpens, Mango Sandstorm и TA450. Cвязанная с Министерством разведки и безопасности Ирана киберпреступная группировка недавно внедрила в свои операции новую инфраструктуру управления «DarkBeatC2», которая стала последним дополнением арсенала хакеров после таких инструментов, как SimpleHarm и MuddyC2Go.
По данным Саймона Кенина, исследователя из Deep Instinct, несмотря на периодическую смену инструментов удалённого администрирования и фреймворков управления, методы MuddyWater остаются неизменными, пишет Securitylab.
С 2017 года группа активно использует специально разработанные фишинговые атаки для развёртывания на скомпрометированных системах различных решений для удалённого мониторинга и управления. Операции группы не раз приводили к серьёзным последствиям, включая разрушительные атаки на израильские объекты, осуществляемые с помощью других связанных с Ираном киберпреступных групп.
Одной из последних злонамеренных кампаний, зафиксированных исследователями, является фишинговая рассылка электронных писем с вредоносными URL. По данным исследователей, в этой атаке хакеры использовали скомпрометированный аккаунт, связанный с израильским учебным заведением, что создало иллюзию легитимности и доверительного отношения к отправителю.
Помимо использования нового домена DarkBeatC2, группа начала применять сложные методы для управления заражёнными системами, включая PowerShell-скрипты и механизмы загрузки вредоносных библиотек через системный реестр.
Исследователи из Palo Alto Networks отметили, что для установления постоянства в системе MuddyWater использует задачи в планировщике Windows, а при помощи метода DLL Sideloading происходит непосредственный запуск вредоноса с последующим соединением с доменом DarkBeatC2.