Исследователи из Group-IB раскрыли новую фишинговую кампанию, использующую взломанные аккаунты электронной почты и направленную на международные организации в различных регионах с целью сбора разведывательной информации. Её приписывают группировке MuddyWater, связанной с Ираном.
В атаке использовался взломанный почтовый ящик, доступ к которому осуществлялся через NordVPN, легитимный сервис, используемый для сокрытия личности злоумышленника. Затем MuddyWater внедряла зловред, имитируя настоящую переписку и эксплуатируя доверие жертв. Вложения, представляющие собой вредоносные документы Microsoft Word, призывали получателей включить макросы. После активации встроенный код Visual Basic устанавливал и запускал версию 4 бэкдора Phoenix, предоставляя членам группировки удалённый контроль над заражёнными системами.
«Этот инцидент подчеркивает, как поддерживаемые государством субъекты угроз продолжают использовать надёжные каналы связи, чтобы обходить защиту и проникать в особо важные цели», — говорится в опубликованном бюллетене Group-IB.
В Phoenix v4 представлен обновлённый механизм, позволяющий хакерам сохранять контроль даже после перезагрузки. Вредонос тем временем собирает системные данные, изменяет ключи реестра и подключается к командному серверу (C2) для получения инструкций. Помимо этого, специалисты обнаружили средства удалённого мониторинга и управления: PDQ, Action1 и ScreenConnect, а также инструмент для кражи учётных данных браузера Chromium_Stealer. Он маскировался под приложение калькулятора, похищая данные авторизации из браузеров Chrome, Edge, Opera и Brave.
Group-IB отнесла эту кампанию к MuddyWater на основе перекрывающегося кода, доменной инфраструктуры и образцов вредоносного ПО, ранее связанных с группой. Модели атак, особенно направленные на гуманитарные и государственные учреждения, отражают преследование геополитических целей.
Эксперты порекомендовали организациям принять такие меры, как отключение макросов Office по умолчанию, развёртывание инструментов обнаружения и реагирования на конечные точки (EDR) и регулярное проведение имитационных тестов фишинга и тренингов по повышению осведомлённости персонала.
Усам Оздемиров
