DarkBeatC2: иранская MuddyWater расширяет свой хакерский арсенал

DarkBeatC2: иранская MuddyWater расширяет свой хакерский арсенал

Смещение акцента на использование легитимного софта делает группировку ещё скрытнее и опаснее.

image

В сети появилась информация о новом инструменте кибератак, разработанном иранской хакерской группировкой MuddyWater, также известной как Boggy Serpens, Mango Sandstorm и TA450. Cвязанная с Министерством разведки и безопасности Ирана киберпреступная группировка недавно внедрила в свои операции новую инфраструктуру управления «DarkBeatC2», которая стала последним дополнением арсенала хакеров после таких инструментов, как SimpleHarm и MuddyC2Go.

По данным Саймона Кенина, исследователя из Deep Instinct, несмотря на периодическую смену инструментов удалённого администрирования и фреймворков управления, методы MuddyWater остаются неизменными.

С 2017 года группа активно использует специально разработанные фишинговые атаки для развёртывания на скомпрометированных системах различных решений для удалённого мониторинга и управления. Операции группы не раз приводили к серьёзным последствиям, включая разрушительные атаки на израильские объекты, осуществляемые с помощью других связанных с Ираном киберпреступных групп.

Одной из последних злонамеренных кампаний, зафиксированных исследователями, является фишинговая рассылка электронных писем с вредоносными URL. По данным исследователей, в этой атаке хакеры использовали скомпрометированный аккаунт, связанный с израильским учебным заведением, что создало иллюзию легитимности и доверительного отношения к отправителю.

Помимо использования нового домена DarkBeatC2, группа начала применять сложные методы для управления заражёнными системами, включая PowerShell-скрипты и механизмы загрузки вредоносных библиотек через системный реестр.

Исследователи из Palo Alto Networks отметили, что для установления постоянства в системе MuddyWater использует задачи в планировщике Windows, а при помощи метода DLL Sideloading происходит непосредственный запуск вредоноса с последующим соединением с доменом DarkBeatC2.

Также в конце прошлого месяца стало известно, что MuddyWater активно использует на скомпрометированных хостах легитимное ПО вместо вредоносного, чтобы как можно дольше избежать обнаружения после проникновения в целевую сеть.

Несмотря на постоянные изменения в тактике и инструментах, киберпреступные группировки, такие как MuddyWater, продолжают активно угрожать безопасности сотен организаций. Осведомлённость и бдительность сотрудников, а также непрерывное совершенствование методов защиты, могут стать эффективным барьером на пути киберпреступников.

Мы клонировали интересный контент!

Никаких овечек — только отборные научные факты

Размножьте знания — подпишитесь