Иранская группировка MuddyWater использует обновлённые методы для атак на Израиль

Известная иранская хакерская группировка MuddyWater инициировала новую кампанию кибератак с использованием методов целевого фишинга против двух израильских организаций. Цель данной вредоносной кампании — развёртывание законного инструмента удалённого управления Advanced Monitoring Agent от N-able.

Согласно информации , предоставленной экспертами компании Deep Instinct, атаки демонстрируют обновлённые тактики и техники (TTPs), особенно в сравнении с предыдущей активностью MuddyWater.

В прошлом хакеры использовали похожие методы для распространения других инструментов удалённого доступа, таких как ScreenConnect и RemoteUtilities. Однако новшество последних атак заключается в использовании программного обеспечения производства N-able для удалённого мониторинга, что подчёркивает эффективность практически неизменного образа действия группы.

Данные, полученные исследователями Deep Instinct также были подтверждены компанией Group-IB в их мини-отчёте.

Группировка MuddyWater, функционирующая с 2017 года, представляет собой элемент, предположительно подчинённый Министерству разведки и безопасности Ирана. Хакеры MuddyWater также связаны с другими группами вроде OilRig и Scarred Manticore, специализирующимися на кибершпионаже.

В предыдущих кампаниях атаки осуществлялись посредством фишинговых писем с прямыми ссылками или архивными вложениями с HTML, PDF и RTF-содержимым, которые приводили к скачиванию инструментов удалённого управления. В настоящей же кампании замечено использование хостингового сервиса Storyblok для запуска многоступенчатого заражения.

Как отметил Саймон Кенин из Deep Instinct, в арсенале атакующих появились скрытые файлы и LNK-ярлыки, упакованные в архивы и запускающие процесс заражения, а также исполняемые файлы, отображающие документ-приманку на переднем плане интерфейса операционной системы, в то время как в фоне выполняются вредоносные действия с помощью Advanced Monitoring Agent.

Схема атаки

В дополнение к усовершенствованию тактик, Deep Instinct выявила, что группа MuddyWater использует новую C2-инфраструктуру MuddyC2Go, являющуюся преемником MuddyC3 и PhonyC2. Такое обновление функциональности является свидетельством усиления кибервозможностей иранских национальных хакеров.