Hacking
Η παγκόσμια εκστρατεία κατασκοπείας του MuddyWater
Το MuddyWater στοχεύει οργανισμούς παγκοσμίως με το backdoor Phoenix, επιδεικνύοντας αυξημένη ικανότητα απόκρυψης και επιμονής.
Ποιο είναι το MuddyWater και πώς δρα
Το MuddyWater, μια κρατική ομάδα απειλής που συνδέεται με το Ιράν, έχει αποδοθεί σε μια νέα εκστρατεία που αξιοποιεί έναν παραβιασμένο λογαριασμό email για να διανείμει το backdoor Phoenix σε διάφορους οργανισμούς στη Μέση Ανατολή και τη Βόρεια Αφρική. Η εκστρατεία αυτή στοχεύει πάνω από 100 κυβερνητικές οντότητες, με τελικό σκοπό την εισχώρηση σε υψηλής αξίας στόχους για τη συλλογή πληροφοριών, όπως αναφέρει η εταιρεία κυβερνοασφάλειας Group-IB σε τεχνική της αναφορά.
Στόχοι και μέθοδοι επίθεσης
Περίπου το 75% των στόχων αυτής της εκστρατείας περιλαμβάνει πρεσβείες, διπλωματικές αποστολές, υπουργεία εξωτερικών υποθέσεων και προξενεία, ενώ ακολουθούν διεθνείς οργανισμοί και εταιρείες τηλεπικοινωνιών. Η εκστρατεία εκμεταλλεύεται την εμπιστοσύνη και την εξουσία που αποδίδεται σε αυτές τις επικοινωνίες για να αυξήσει τις πιθανότητες εξαπάτησης των παραληπτών ώστε να ανοίξουν τα κακόβουλα συνημμένα.
Η τεχνική της επίθεσης
Η αλυσίδα της επίθεσης περιλαμβάνει τη διανομή κακόβουλων εγγράφων Microsoft Word που, όταν ανοιχτούν, παροτρύνουν τους παραλήπτες να ενεργοποιήσουν μακροεντολές για να δουν το περιεχόμενο. Μόλις ο ανυποψίαστος χρήστης ενεργοποιήσει αυτή τη λειτουργία, το έγγραφο εκτελεί κακόβουλο κώδικα Visual Basic for Application (VBA), με αποτέλεσμα την εγκατάσταση της τέταρτης έκδοσης του Phoenix backdoor.
Η χρήση του FakeUpdate και τα τεχνικά χαρακτηριστικά
Το backdoor εκκινείται μέσω ενός φορτωτή που ονομάζεται FakeUpdate, ο οποίος αποκωδικοποιείται και γράφεται στο δίσκο από τον VBA dropper. Ο φορτωτής περιέχει το κρυπτογραφημένο με Advanced Encryption Standard (AES) payload του Phoenix, καθιστώντας την επίθεση πιο ανθεκτική και δύσκολη στην ανίχνευση.
Ιστορικό και προηγούμενες δραστηριότητες του MuddyWater
Το MuddyWater, γνωστό και ως Boggy Serpens, Cobalt Ulster, Earth Vetala, και άλλα πολλά ονόματα, θεωρείται ότι συνδέεται με το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν. Είναι ενεργό τουλάχιστον από το 2017 και έχει αναγνωριστεί για τη χρήση του Phoenix, το οποίο περιγράφεται ως μια ελαφριά έκδοση του BugSleep, ένα implant βασισμένο σε Python που σχετίζεται με το MuddyWater.
Η σημασία της ενσωμάτωσης κακόβουλου και εμπορικού λογισμικού
Οι ερευνητές ασφαλείας αναφέρουν ότι ο διακομιστής command-and-control (C2) του επιτιθέμενου φιλοξενεί επίσης εργαλεία απομακρυσμένης παρακολούθησης και διαχείρισης (RMM) καθώς και έναν ειδικό κλέφτη διαπιστευτηρίων για web browsers, όπως Brave, Google Chrome, Microsoft Edge, και Opera. Αυτό υποδηλώνει τη χρήση αυτών των εργαλείων στην επιχείρηση και την ικανότητα του MuddyWater να ενσωματώνει προσαρμοσμένο κώδικα με εμπορικά εργαλεία για καλύτερη απόκρυψη και επιμονή.
Οι προοπτικές και οι μελλοντικές κινήσεις
Με την ανάπτυξη ενημερωμένων παραλλαγών κακόβουλου λογισμικού, όπως το Phoenix v4 backdoor και το FakeUpdate injector, το MuddyWater δείχνει μια αυξημένη ικανότητα για ολοκλήρωση προσαρμοσμένου κώδικα με εμπορικά εργαλεία, ενισχύοντας την απόκρυψη και την επιμονή του. Αυτό το γεγονός ενισχύει την ανάγκη για αυξημένη επιτήρηση και καλύτερη κατανόηση των τεχνικών που χρησιμοποιούν τέτοιες ομάδες απειλής.
