За два месяца группировка MuddyWater атаковала 30 организаций по всему миру

image

Теги: MuddyWater, кибершпионаж, Powemuddy, бэкдор

С конца сентября по середину ноября жертвами киберпреступников стали более 130 сотрудников в 30 организациях.

В последние несколько месяцев группировка MuddyWater (она же Seedworm) активно атакует организации на Среднем Востоке, в Европе и Северной Америке с целью сбора разведданных. По информации специалистов компании Symantec, в период с конца сентября по середину ноября текущего года жертвами киберпреступников стали более 130 сотрудников в 30 организациях.

Впервые активность группировки была зафиксирована в 2017 году, тогда злоумышленники в основном концентрировались на целях в Иране и Саудовской Аравии, однако сейчас расширили географию атак.

В конце ноября специалисты обнаружили новый PowerShell-бэкдор, получивший название Powemuddy (Powerstats). В последний год группировка постоянно обновляла бэкдор и другие инструменты в целях скрыть свою деятельность. Кроме того, исследователи выявили на GitHub репозиторий, где MuddyWater хранила скрипты и инструменты для компрометации компьютеров жертв.

Взломав систему, киберпреступники первым делом похищают пароли, сохраненные в браузере и электронной почте, а затем используют открытые инструменты LaZagne и Crackmapexec для кражи учетных данных для авторизации в Windows.

Кроме прочего, специалисты выявили несколько связанных с MuddyWater online-аккаунтов, включая общедоступный репозиторий на GitHub и учетную запись в Twitter, владелец которой следил за разработчиками открытого ПО и многочисленными исследователями в области безопасности, в том числе отслеживающими деятельность группировки.

Всего за два месяца злоумышленникам удалось скомпрометировать 131 жертву, в основном в Пакистане и Турции. Атакам также подвергались организации в России, Саудовской Аравии, Афганистане, Иордании и других странах. Основной интерес для группировки представляют компании в сфере телекоммуникаций, в IT- и нефтегазовом секторах, а также университеты на Среднем Востоке и посольства стран ближневосточного региона в европейских государствах.


Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.