Иранские хакеры MuddyWater обходят защиту Израиля с новым кибероружием

Иранские хакеры из группировки MuddyWater, связанной с Министерством разведки Ирана, используют ранее неизвестную C2-систему MuddyC2Go для кибератак на Израиль. Об этом сообщил эксперт по кибербезопасности Саймон Кенин из израильской компании Deep Instinct в своём техническом отчёте , опубликованном восьмого ноября.

По словам Кенина, веб-компонент MuddyC2Go написан на языке программирования Go. Предположительно, хакеры из MuddyWater используют эту C2-систему с начала 2020 года, заменив ей другую свою разработку — PhonyC2. Исходный код PhonyC2 был обнародован лишь в июне 2023 года.

MuddyWater известна использованием фишинговых писем со ссылками и вложениями, содержащими вредоносное ПО. После заражения на компьютер жертвы обычно загружается легитимное ПО для удалённого администрирования, а уже через некоторое время доставляются дополнительные вредоносные модули.

Как сообщается, теперь MuddyWater изменила свою тактику. Она использует защищённые паролем архивы, чтобы обойти сканеры электронной почты, а также сразу распространяет готовый вредонос с PowerShell-скриптом для подключения к MuddyC2Go вместо простого инструмента удалённого администрирования, из-за которого атака растягивалась по времени.

Хотя полный функционал MuddyC2Go пока неизвестен, предполагается, что эта система отвечает за генерацию вредоносных скриптов PowerShell для проведения действий после взлома.

Кенин из Deep Instinct рекомендует администраторам отключить PowerShell на подконтрольных компьютерах, если он не используется, или тщательно контролировать его активность, если отключение невозможно.

MuddyWater действует в интересах Ирана уже не первый год. В прошлом году эта группировка атаковала несколько израильских компаний в области телекоммуникаций, логистики и энергетики. Нынешние атаки с использованием MuddyC2Go также нацелены на организации в Израиле.

Буквально на прошлой неделе мы также рассказывали об использовании хакерами MuddyWater инструмента Advanced Monitoring Agent от N-able, а также хостингового сервиса Storyblok для запуска многоступенчатого заражения.

Иран и Израиль находятся в состоянии киберконфронтации уже много лет. Обе страны регулярно обвиняют друг друга в проведении атак на критическую инфраструктуру.

Помимо MuddyWater, из Ирана действуют такие известные хакерские группы, как APT33, APT34 и APT35. Со стороны Израиля атаки ведут, в частности, группировки Lazarus Group и Moses Staff.

Использование MuddyWater системы управления MuddyC2Go и прочих новых инструментов свидетельствует об изменении тактики этой группы и её стремлении всеми силами обойти средства защиты. Компаниям в Израиле и других странах, которые могут стать целью иранских хакеров, следует уделить особое внимание защите от атак с использованием PowerShell.