14/03/22
Иранская киберпреступная группировка MuddyWater осуществила серию атак на компании и организации в Турции и на Аравийском полуострове с целью развертывания троянов для удаленного доступа на скомпрометированных системах.
По словам экспертов из Cisco Talos, в ходе вредоносной кампании злоумышленники рассылали фишинговые письма с зараженными файлами Microsoft Excel. В результате успешной атаки на компьютер жертвы устанавливался троян для удаленного доступа под названием SloughRAT (также известный как Canopy), способный выполнять произвольный код и команды от командного сервера.
Файл Microsoft Excel в электронном письме содержит вредоносный макрос, который устанавливает два файла формата Windows Script Files (.WSF) на систему. Один из них действует как инструмент для вызова и выполнения полезной нагрузки следующего этапа. Скрипт размещается в папку автозагрузки текущего пользователя с помощью макроса VBA и обеспечивает персистентность при перезагрузке системы. Второй скрипт представляет собой RAT на основе WSF под названием SloughRAT.
Также были обнаружены два дополнительных имплантата на основе скриптов, один из которых написан на Visual Basic, а другой — на JavaScript. Оба компонента предназначены для загрузки и запуска вредоносных команд на скомпрометированном устройстве.
Как предполагают исследователи, данная вредоносная кампания может быть связана с кампанией в ноябре 2021 года, в ходе которой турецкие частные организации и правительственные учреждения были атакованы бэкдорами на основе PowerShell для хищения информации.
