03/11/23
Известная иранская хакерская группировка MuddyWater инициировала новую кампанию кибератак с использованием методов целевого фишинга против двух израильских организаций. Цель данной вредоносной кампании — развёртывание законного инструмента удалённого управления Advanced Monitoring Agent от N-able.
Согласно информации, предоставленной экспертами компании Deep Instinct, атаки демонстрируют обновлённые тактики и техники (TTPs), особенно в сравнении с предыдущей активностью MuddyWater.
В прошлом хакеры использовали похожие методы для распространения других инструментов удалённого доступа, таких как ScreenConnect и RemoteUtilities, согласно Securitylab. Однако новшество последних атак заключается в использовании программного обеспечения производства N-able для удалённого мониторинга, что подчёркивает эффективность практически неизменного образа действия группы.
Данные, полученные исследователями Deep Instinct также были подтверждены компанией Group-IB в их мини-отчёте.
Группировка MuddyWater, функционирующая с 2017 года, представляет собой элемент, предположительно подчинённый Министерству разведки и безопасности Ирана. Хакеры MuddyWater также связаны с другими группами вроде OilRig и Scarred Manticore, специализирующимися на кибершпионаже.
В предыдущих кампаниях атаки осуществлялись посредством фишинговых писем с прямыми ссылками или архивными вложениями с HTML, PDF и RTF-содержимым, которые приводили к скачиванию инструментов удалённого управления. В настоящей же кампании замечено использование хостингового сервиса Storyblok для запуска многоступенчатого заражения.
Как отметил Саймон Кенин из Deep Instinct, в арсенале атакующих появились скрытые файлы и LNK-ярлыки, упакованные в архивы и запускающие процесс заражения, а также исполняемые файлы, отображающие документ-приманку на переднем плане интерфейса операционной системы, в то время как в фоне выполняются вредоносные действия с помощью Advanced Monitoring Agent.
В дополнение к усовершенствованию тактик, Deep Instinct выявила, что группа MuddyWater использует новую C2-инфраструктуру MuddyC2Go, являющуюся преемником MuddyC3 и PhonyC2. Такое обновление функциональности является свидетельством усиления кибервозможностей иранских национальных хакеров.
