Всего 1 скомпрометированный адрес стал дверью в госинфраструктуру Ближнего Востока — новая кампания APT-группировки MuddyWater

Подразделение Threat Intelligence компании Group-IB опубликовало подробный анализ новой операции кибершпионажа, с высокой степенью вероятности связанной с APT-группировкой MuddyWater. Атака проводилась через скомпрометированный почтовый ящик, к которому злоумышленники подключались с использованием легитимного сервиса NordVPN. От имени этого ящика рассылались фишинговые письма с вредоносными документами Microsoft Word, внешне не отличимыми от официальной переписки. Под удар попали международные организации и более сотни государственных учреждений по всему Ближнему Востоку и Северной Африке. В рассылку включались как адреса доменов уровня .gov, так и личные почтовые ящики на Gmail, Yahoo и Hotmail, что говорит о хорошем знании структуры целевых организаций и персональных контактов их сотрудников. По оценке Group-IB, основная цель кампании — разведывательная: получение внешней информации у стратегически значимых жертв, включая дипломатические и гуманитарные структуры.

Во вложениях писем находились документы формата .doc с размытым содержимым и предложением «enable content». После активации макросов запускался вредоносный код VBA, который выгружал на диск вспомогательный компонент и исполнял его. Этот загрузчик, идентифицированный как FakeUpdate, выполнял роль инжектора: он расшифровывал встроенный второй модуль с помощью алгоритма AES и внедрял его в собственный процесс. Вторым этапом выступал бэкдор Phoenix версии 4. Он сохранялся под именем sysProcUpdate, создавал системный mutex с тем же названием, собирал сведения о компьютере (имя устройства, домен или рабочую группу, версию Windows, имя пользователя), копировал себя в каталог C:\ProgramData\sysprocupdate.exe, закреплялся через изменение параметра Shell в реестре по ветке HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon и после этого регистрировал заражённый хост на сервере управления. Затем вредонос начинал регулярно опрашивать C2, получая и исполняя команды. Среди зафиксированных функций: код 65 — переход в спящий режим, 68 — выгрузка файла на сервер, 85 — загрузка данных на заражённый хост, 67 — запуск удалённой оболочки, 83 — изменение интервала опроса.

Анализ артефактов показал, что Phoenix v4 получил дополнительный механизм автозапуска через COM-объект. Внутри основной сборки обнаружен встроенный PE-файл (DLL), запускающий C:\Users\Public\Downloads\Mononoke.exe. Такой приём ранее фиксировался у вредоноса CannonRat (библиотека coreglobconfig.dll), также связанного с MuddyWater. Совпадают и методы декодирования строк. Поиск по пути Mononoke.exe позволил обнаружить ещё две сборки с отладочным путём C:\Users\win10\Desktop\phoenixV4\phoenixV3\phoenixV2\x64\Debug\phoenix.pdb (хэши: 6de859a27ccc784689e8748cef536e32780e498a и bed6506f8f5281888f89781cf6fbc750545292fc). Эти данные подтверждают, что разные поколения Phoenix создаются в одной кодовой базе и используют несколько способов закрепления в системе помимо правки раздела Winlogon.

Инфраструктура командных серверов была построена вокруг домена screenai[.]online. Он зарегистрирован 17 августа 2025 года в 16:41:01 UTC через NameCheap и делегирован на DNS-серверы Cloudflare. Домен оставался активным всего несколько дней после начала рассылки. По данным SSL-сертификата, фактический IP-адрес сервера — 159[.]198[.]36[.]115, принадлежащий автономной системе NameCheap. Анализ баннеров показал, что сервер был развёрнут 19 августа и отключён 24 августа 2025 года. Сначала управляющий компонент работал на Uvicorn, затем был заменён на Apache, который стал отвечать ошибкой «503 Service Unavailable». На веб-странице отображалось название «ScreenAI | Your On-Screen Content Genius». На том же хосте исследователи нашли открытый каталог, опубликованный через простой сервер SimpleHTTP/0.6 (Python 3.10.12), где располагались вспомогательные инструменты постэксплуатации и программы удалённого администрирования (RMM).

Помимо PDQ RMM, уже использовавшегося этой группировкой, на C2-сервере размещался инструмент Action1 и собственный стилер Chromium_Stealer, замаскированный под «калькулятор» (hxxp://159.198.36[.]115:4444/chromium_stealer_user.exe). Принцип его работы типичен для малвари, ориентированной на браузеры Chromium: программа перечисляет каталоги профилей, извлекает os_crypt.encrypted_key из файла Local State, расшифровывает мастер-ключ через системные крипто-API, завершает процессы браузеров для снятия блокировки, открывает базы Login Data, выгружает сохранённые логины и пароли, расшифровывает их и сохраняет результат в файл C:\Users\Public\Downloads\cobe-notes.txt (в зашифрованном виде). После этого браузеры перезапускаются, чтобы не вызывать подозрений. Подверженными оказались Chrome, Microsoft Edge, Opera и Brave. На той же инфраструктуре обнаружен и другой стилер, использующий характерные для MuddyWater методы декодирования строк, аналогичные ранее документированным образцам группы.

Набор совпадений подтверждает атрибуцию атаки с высокой степенью достоверности. Использованные семействa FakeUpdate и Phoenix — собственные разработки, ранее встречавшиеся только в кампаниях этой APT-группы. Макросы документов полностью совпадают с прежними образцами по логике и частям кода (хэш 40dead1e1d83107698ff96bce9ea52236803b15b63fb0002e0b55af71a9b5e05). На том же C2 обнаружены PDQ RMM и стилер с идентичными техниками декодирования строк. География атак и профиль целей полностью соответствуют типичной активности MuddyWater — фокус на Ближнем Востоке и интерес к международным организациям. Group-IB также отмечает пересечения с другими эпизодами: найден документ-приманка, имитирующий приглашение на правительственный семинар по актуальным геополитическим вопросам, с идентичным макрокодом и тем же доменом управления; другой файл, направленный против энергетических компаний региона MENA, распространял Phoenix v4 через FakeUpdate и использовал тот же C2, но имел иную целевую выборку. Его расценивают как параллельную операцию, работающую на общей инфраструктуре.

Кампания демонстрирует повышенную зрелость инструментов MuddyWater. Группа перешла к использованию доверенных каналов — компрометированных почтовых ящиков вместо одноразовых поддельных адресов, — сократила срок жизни серверов управления, сочетает собственный код с легальными административными платформами, а также применяет несколько механизмов закрепления (через реестр и COM-объекты). Пятидневное «окно активности» C2 и последующее его отключение позволяют предположить, что на заражённых системах могли остаться другие инструменты для продолжения наблюдения, что подтверждается наличием на IP-адресе открытого каталога с RMM-утилитами и средствами постэксплуатации. Group-IB прогнозирует появление аналогичных волн, поскольку MuddyWater регулярно перерабатывает и адаптирует свои наработки под новые темы рассылок и обновлённые списки жертв.

Рекомендации следуют из логики самой атаки. Организациям стоит подключить надёжные каналы Threat Intelligence с актуальными IOC и TTP для MuddyWater, внедрить постоянный threat hunting по артефактам Phoenix/FakeUpdate (например, screenai[.]online, sysprocupdate.exe), добавить YARA-правила и сигнатуры в EDR/XDR для выявления злоупотреблений PowerShell, инъекций в процессы и подозрительных изменений автозапуска. На уровне почты следует использовать песочницы и автоматическую проверку вложений Office с макросами, а также проводить обучение сотрудников, объясняя опасность кнопки «Enable Content». На системном уровне важно отключить макросы по умолчанию групповыми политиками, разрешив их только для подписанных источников.

Также неплохо бы внедрить многофакторную аутентификацию (MFA) и контролировать использование инструментов удалённого администрирования (Action1, PDQ, ScreenConnect), ограничивая их минимально необходимым перечнем. Рекомендуется мониторить исходящий трафик на предмет повторяющихся HTTP(S)-запросов, характерных для MuddyWater, вести точный учёт активов, применять принцип минимальных привилегий, анализировать поведение аккаунтов и писем, исходящих из неожиданных регионов или VPN, и регулярно обновлять сценарии реагирования на фишинг и утечку учётных данных. Group-IB подчёркивает, что публикуемые технические детали и индикаторы компрометации предназначены исключительно для целей защиты и исследований; любое использование информации в наступательных целях противозаконно.