Irańska grupa MuddyWater infekuje ponad 100 instytucji rządowych Phoenixem v4

Grupa MuddyWater powiązana z Iranem przeprowadziła falę ataków phishingowych na ponad 100 organizacji rządowych w regionie MENA, instalując nową wersję backdoora Phoenix v4 i wykradając dane z przeglądarek.

Według raportu Group-IB, od 19 sierpnia hakerzy MuddyWater (znani też jako Static Kitten, Mercury, Seedworm) rozsyłali e-maile z przejętego konta, do którego uzyskali dostęp przez NordVPN. Wiadomości zawierały załączniki Word z makrami instalującymi loader FakeUpdate, który następnie odszyfrowywał i uruchamiał Phoenix v4.

Celem kampanii były głównie ambasady, konsulaty i ministerstwa spraw zagranicznych. Zainfekowane systemy przesyłały do serwerów dowodzenia i kontroli (C2) informacje o konfiguracji, użytkowniku i domenie, a następnie oczekiwały na polecenia — m.in. pobieranie, wysyłanie i wykonywanie plików czy uruchamianie zdalnej powłoki.

Nowe możliwości i cele

Nowa wersja złośliwego oprogramowania Phoenix v4 potrafi utrzymać dostęp do zainfekowanego systemu, wykorzystując do tego mechanizm COM (czyli sposób komunikacji między programami w Windows).
Hakerzy używali też kradnącego dane z przeglądarek programu (tzw. stealer) — potrafiącego wyciągać hasła i pliki cookie z Chrome, Edge, Brave i Opery — oraz narzędzi PDQ i Action1 RMM, które normalnie służą do zdalnego zarządzania komputerami.

Eksperci zwracają uwagę, że MuddyWater wraca do starych technik opartych na makrach, które wciąż potrafią skutecznie obejść zabezpieczenia, jeśli ofiary zaufają nadawcy wiadomości.

Źródła:
Group-IB
Bleeping Computer

Tagi

Popularne

Palo Alto Networks ofiarą łańcuchowego ataku na Salesforce
Chaos w Waszyngtonie blokuje wymianę informacji o cyberatakatach
Witamy na Sentry News
Cloudflare blokuje rekordowy atak DDoS – 11,5 Tbps