Иранская группировка MuddyWater атаковала крупные израильские организации

Profero ClearSky MuddyWater Operation Quicksand Thanos PowGoop
Иранская группировка MuddyWater атаковала крупные израильские организации
Profero ClearSky MuddyWater Operation Quicksand Thanos PowGoop

Атака выглядела как попытка вымогательства, однако настоящей целью хакеров была не кража данных, а нанесение ущерба.

Исследователи безопасности из ИБ-компаний Profero и ClearSky сообщили о предотвращении вредоносной кампании, организованной иранскими хакерами. Масштабная хакерская операция, получившая название Operation Quicksand, была нацелена на «крупные израильские организации».

Согласно отчету, хакерская группировка MuddyWater отправляла израильским организациям вариант вредоносного ПО PowGoop (вредоносная замена DLL-библиотеки обновлений Google). PowGoop представляет собой загрузчик для вымогателя Thanos с разрушительными возможностями.

Эксперты определили два основных вектора атаки:

• Первый вектор предполагал отправку вредоносного документа (PDF или Excel), который обменивался данными через OpenSSL с C&C-сервером киберпреступников и загружал файлы для дальнейшего развертывания полезной нагрузки PowGoop;

• Второй вектор предполагал использование уязвимости CVE-2020-0688 в Microsoft Exchange и развертывание той же полезной нагрузки через файл aspx (WebShell). Злоумышленник создавал внутренний сокет-туннель между скомпрометированными устройствами в сети. Для этого использовался модифицированный SSF (Socket). Затем злоумышленник загружал PowGoop.

Изначально атака выглядела так, словно злоумышленники хотели получить выкуп, однако «настоящей их целью была не кража данных, а нанесение ущерба». MuddyWater (также известная как Static Kitten) сосредоточена исключительно на кибершпионаже и атаках на правительственные структуры.

Как ранее сообщила Microsoft, MuddyWater также использовала уязвимость ZeroLogon (CVE-2020-1472).