Group-IB: MuddyWater применяет бэкдор Phoenix в фишинге против правительств

Group-IB: MuddyWater применяет бэкдор Phoenix в фишинге против правительств

Источник: www.group-ib.com

Группа-IB Threat Intelligence выявила сложную фишинг-операцию, приписываемую APT-группировке MuddyWater, направленную против более чем 100 правительственных организаций, преимущественно в странах Ближнего Востока и Северной Африки. Кампания использует скомпрометированные учетные записи электронной почты для распространения вредоносного ПО, в частности backdoor Phoenix версии 4, в которой задействована новая техника закрепления (persistence).

Суть атаки

  • Цели: свыше 100 государственных организаций, причём акцент сделан на структурах, участвующих в международном сотрудничестве и гуманитарных миссиях.
  • Метод распространения: фишинговые письма, отправляемые с заранее скомпрометированных аккаунтов электронной почты (включая адреса на Yahoo и Gmail), а также с официальных государственных адресов.
  • Первоначальный доступ: в одном из случаев Group-IB связала доступ с выходным узлом NordVPN во Франции.
  • Широта используемых отправителей указывает на глубокое понимание структуры и связей целевых организаций — что соответствует геополитическим целям шпионской активности.

Технический разбор вредоносного поведения

Исследователи зафиксировали следующую цепочку действий вредоносного ПО в рамках кампании:

  • Распространение вредоносных документов, которые при включённых макросах выполняют встроенную последовательность команд.
  • Макрос удаляет файл по пути C:UsersPublicDocumentsManagerProc.log, а затем выполняет его. Этот файл служит загрузчиком под названием FakeUpdate.
  • FakeUpdate расшифровывает и внедряет полезную нагрузку второго этапа — backdoor Phoenix v.4 — в собственный процесс.
  • Версия 4 бэкдора характеризуется использованием DLL COM-моделей (Component Object Model) и реализует закрепление путем выполнения встроенного переносимого исполняемого файла по пути C:UsersPublicDownloadsMononoke.exe.

Инфраструктура и дополнительные инструменты

  • На серверах управления (C2) обнаружены несколько утилит и пользовательский инструмент удаленного мониторинга и управления (RMM), вероятно используемые для удалённого доступа и сбора учётных данных из скомпрометированных систем.
  • Наличие новых инструментов и модификаций указывает, что MuddyWater продолжает развивать свои возможности для проведения шпионских операций и повышения эффективности тактик проникновения.

Оценка и последствия

«Кампания демонстрирует сочетание целенаправленного фишинга с использованием компрометированных реальных аккаунтов и эволюцию вредоносных инструментов, что подтверждает намерения группы вести долговременную разведывательную активность», — отмечает Group-IB Threat Intelligence.

Такая модель атак представляет повышенную угрозу для организаций, вовлечённых в международное сотрудничество: компрометация коммуникаций и утечка учётных данных могут привести к долгосрочным последствиям для безопасности и репутации.

Рекомендации для организаций

  • Усилить мониторинг входящих сообщений и проверку отправителей, включая дополнительные механизмы аутентификации (SPF/DKIM/DMARC).
  • Ограничить выполнение макросов в офисных документах по умолчанию и применять многоуровневую проверку вложений.
  • Проводить регулярный аудит учётных записей и настройку многофакторной аутентификации (MFA), особенно для государственных и критически важных почтовых ящиков.
  • Контролировать и анализировать исходящие подключения через публичные VPN-узлы и реагировать на подозрительные активности с нестандартных географических локаций.
  • Организовать реагирование на инциденты и своевременное выявление артефактов, таких как файлы ManagerProc.log, загрузчики типа FakeUpdate и исполняемые файлы вроде Mononoke.exe.

Выявленная кампания — очередное подтверждение того, что сложные APT-группы адаптируются и расширяют набор инструментов. Государственным структурам и международным организациям следует рассматривать такие инциденты как призыв к укреплению киберзащиты и совместному обмену информацией об угрозах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: