Открыл письмо от «дипломата»? Поздравляем, теперь ты в базе Тегерана

leer en español

MuddyWater Phoenix Group-IB VBA Иран фишинг шпионская кампания
Открыл письмо от «дипломата»? Поздравляем, теперь ты в базе Тегерана
MuddyWater Phoenix Group-IB VBA Иран фишинг шпионская кампания

MuddyWater показала, что для взлома министерства достаточно вежливого сообщения и любопытства чиновника.

image

В рамках одной из самых масштабных кибершпионских операций за последнее время, иранская группировка MuddyWater атаковала более сотни организаций по всему Ближнему Востоку и Северной Африке. В фокусе оказались дипломатические миссии, министерства иностранных дел, консульства, а также телекоммуникационные компании и международные институты. Кампания была направлена на сбор разведывательных данных и охватывала не только государственные учреждения, но и инфраструктурные объекты с высокой ценностью.

Атака началась с компрометации почтового ящика, через который участники группы рассылали фишинговые письма. Для доступа к учётной записи использовался сервис NordVPN, что позволяло обходить географические ограничения и скрывать следы. Сообщения маскировались под официальную переписку, что значительно увеличивало шансы на то, что получатели откроют вложения.

Цепочка заражения строилась на вредоносных документах Microsoft Word, содержавших макросы. После активации макроса на устройстве жертвы запускался код на языке VBA, который в свою очередь инициировал загрузку версии 4 вредоносной программы Phoenix. Она загружалась с помощью компонента FakeUpdate, расшифровывающего и записывающего полезную нагрузку на диск. Последняя была зашифрована с применением алгоритма AES и скрывала в себе возможности удалённого управления системой.

По данным компании Group-IB, Phoenix представляет собой упрощённый вариант другого вредоносного инструмента — BugSleep, написанного на Python. В результате анализа были выявлены как третья, так и четвёртая версии этой программы. Обе модификации умеют сохранять постоянство в системе, собирать данные об устройстве, инициировать командную оболочку и передавать файлы между заражённой машиной и управляющим сервером.

Кроме самой вредоносной программы, на управляющем сервере, имевшем IP-адрес 159.198.36[.]115, специалисты обнаружили утилиты для удалённого администрирования и инструмент кражи учётных данных браузеров. Последний был ориентирован на сбор информации из Brave, Chrome, Edge и Opera, что говорит о попытке охватить наиболее популярные приложения. Также были задействованы легитимные инструменты дистанционного управления, такие как PDQ и Action1, что свидетельствует об умении злоумышленников совмещать собственные разработки с легальным программным обеспечением для повышения незаметности.

Группировка MuddyWater, также известная под множеством других названий, включая Seedworm и Static Kitten, считается аффилированной с Министерством разведки и национальной безопасности Ирана. Её активность отслеживается как минимум с 2017 года, а основным методом остаются фишинговые атаки с последующей загрузкой вредоносных модулей. Последняя кампания подтверждает высокую техническую адаптивность операторов и их стремление расширять инструментарий для устойчивого доступа к заражённым системам.