20/10/20
Исследователи безопасности из ИБ-компаний Profero и ClearSky сообщили о предотвращении вредоносной кампании, организованной иранскими хакерами. Масштабная хакерская операция, получившая название Operation Quicksand, была нацелена на «крупные израильские организации».
Согласно отчету , хакерская группировка MuddyWater отправляла израильским организациям вариант вредоносного ПО PowGoop (вредоносная замена DLL-библиотеки обновлений Google). PowGoop представляет собой загрузчик для вымогателя Thanos с разрушительными возможностями.
Эксперты определили два основных вектора атаки:
- Первый вектор предполагал отправку вредоносного документа (PDF или Excel), который обменивался данными через OpenSSL с C&C-сервером киберпреступников и загружал файлы для дальнейшего развертывания полезной нагрузки PowGoop.
- Второй вектор предполагал использование уязвимости CVE-2020-0688 в Microsoft Exchange и развертывание той же полезной нагрузки через файл aspx (WebShell). Злоумышленник создавал внутренний сокет-туннель между скомпрометированными устройствами в сети. Для этого использовался модифицированный SSF (Socket). Затем злоумышленник загружал PowGoop.
Изначально атака выглядела так, словно злоумышленники хотели получить выкуп, однако «настоящей их целью была не кража данных, а нанесение ущерба». MuddyWater (также известная как Static Kitten) сосредоточена исключительно на кибершпионаже и атаках на правительственные структуры.
