Иранска хакерска група атакува организации в Близкия изток и Северна Африка с нов зловреден софтуер
Иранската хакерска група, известна като MuddyWater, е свързана с нова кампания, при която използва компрометиран имейл акаунт, за да разпространява зловреден софтуер, наречен Phoenix, сред различни организации в региона на Близкия изток и Северна Африка, включително над 100 правителствени институции.
Какво е целта? Основната цел на тази кампания е да проникне в важни организации и да събира разузнавателна информация, според доклад на сингапурската компания за киберсигурност Group-IB, публикуван днес.
Кои са мишените? Над три четвърти от мишените са посолства, дипломатически мисии, министерства на външните работи и консулства. Освен тях, атакувани са и международни организации, както и телекомуникационни компании.
Как работи атаката? Хакерите от MuddyWater са използвали компрометиран имейл акаунт, до който са получили достъп чрез NordVPN – легитимна услуга за виртуална частна мрежа (VPN), която позволява сигурно сърфиране в интернет, но в случая е злоупотребена от хакерите. От този акаунт те изпращат фалшиви имейли, които изглеждат като истинска кореспонденция.
Технически термин: Фишинг (phishing)
Фишинг е вид кибератака, при която хакерите изпращат имейли или съобщения, които изглеждат легитимни, за да подлъжат получателите да предоставят лична информация или да отворят зловредни файлове.
Тези фалшиви имейли съдържат прикачени файлове – обикновено документи на Microsoft Word. Когато получателят отвори документа, той бива подканен да активира макроси, за да види съдържанието.
Технически термин: Макроси (macros)
Макросите са малки програми в рамките на документи (например Word или Excel), които автоматизират задачи. Хакерите често ги използват, за да вграждат зловреден код, който се активира, когато потребителят включи макросите.
Ако потребителят активира макросите, документът изпълнява зловреден код, написан на език за програмиране, наречен Visual Basic for Applications (VBA). Този код инсталира версия 4 на зловредния софтуер Phoenix.
Технически термин: Зловреден софтуер (malware)
Зловредният софтуер е програма, създадена да навреди на компютър или мрежа, като краде данни, шпионира или поврежда системата. В случая Phoenix е вид „бекдор“ (backdoor), което означава, че позволява на хакерите да получат достъп до заразения компютър и да го контролират дистанционно.
Как се инсталира Phoenix? Зловредният софтуер се разпространява чрез програма, наречена FakeUpdate, която се декодира и записва на компютъра от VBA кода в документа. FakeUpdate съдържа зашифрован с алгоритъма AES (Advanced Encryption Standard) зловреден код на Phoenix.
Технически термин: AES (Advanced Encryption Standard)
Това е метод за криптиране, който защитава данните, като ги прави нечетими без специален ключ. В случая хакерите го използват, за да скрият зловредния код, докато той не бъде активиран.
Кои са MuddyWater? MuddyWater, известна още с имена като Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm, Seedworm, Static Kitten, TA450, TEMP.Zagros и Yellow Nix, е хакерска група, свързана с Министерството на разузнаването и сигурността на Иран. Тя е активна поне от 2017 г.
Какво прави Phoenix? Phoenix е лек зловреден софтуер, подобен на друг инструмент на MuddyWater, наречен BugSleep, написан на езика за програмиране Python. Има две версии на Phoenix (3 и 4), които могат да:
Технически термин: Интерактивна обвивка (interactive shell)
Това е интерфейс, чрез който хакерите могат да изпращат команди към заразения компютър и да получават резултати в реално време, сякаш работят директно на него.
Допълнителни инструменти на хакерите
Сървърът за управление и контрол (C2) на хакерите, намиращ се на адрес „159.198.36.115“, съдържа инструменти за дистанционно наблюдение и управление (RMM), както и специално създаден софтуер за кражба на пароли от уеб браузъри като Brave, Google Chrome, Microsoft Edge и Opera.
Технически термин: Сървър за управление и контрол (C2)
Това е сървър, използван от хакерите, за да управляват заразените компютри и да получават откраднатите данни.
Технически термин: RMM (Remote Monitoring and Management)
Това са легитимни инструменти, които позволяват дистанционно управление на компютри, често използвани от ИТ администратори. Хакерите обаче ги използват, за да получат достъп до заразените системи незабелязано.
MuddyWater е използвала и други легитимни програми като PDQ и Action1, за да прикрие действията си и да направи атаките си по-трудни за откриване.
Какво прави атаката толкова опасна? Според изследователите от Group-IB, MuddyWater комбинира собствени зловредни програми (като Phoenix и FakeUpdate) с легитимни инструменти, което им позволява да действат по-скрито и да поддържат достъп до заразените системи за по-дълго време.
---
Заключение
Тази кампания показва как хакерската група MuddyWater използва сложни техники, за да атакува важни организации, като използва фалшиви имейли, компрометирани акаунти и комбинация от собствени и легитимни инструменти. Това подчертава важността на вниманието при отваряне на имейли и прикачени файлове, както и необходимостта от силна киберсигурност за защита на чувствителна информация.
