Group-IB: MuddyWater применяет бэкдор Phoenix в фишинге против правительств

Источник: www.group-ib.com
Группа-IB Threat Intelligence выявила сложную фишинг-операцию, приписываемую APT-группировке MuddyWater, направленную против более чем 100 правительственных организаций, преимущественно в странах Ближнего Востока и Северной Африки. Кампания использует скомпрометированные учетные записи электронной почты для распространения вредоносного ПО, в частности backdoor Phoenix версии 4, в которой задействована новая техника закрепления (persistence).
Суть атаки
- Цели: свыше 100 государственных организаций, причём акцент сделан на структурах, участвующих в международном сотрудничестве и гуманитарных миссиях.
- Метод распространения: фишинговые письма, отправляемые с заранее скомпрометированных аккаунтов электронной почты (включая адреса на Yahoo и Gmail), а также с официальных государственных адресов.
- Первоначальный доступ: в одном из случаев Group-IB связала доступ с выходным узлом NordVPN во Франции.
- Широта используемых отправителей указывает на глубокое понимание структуры и связей целевых организаций — что соответствует геополитическим целям шпионской активности.
Технический разбор вредоносного поведения
Исследователи зафиксировали следующую цепочку действий вредоносного ПО в рамках кампании:
- Распространение вредоносных документов, которые при включённых макросах выполняют встроенную последовательность команд.
- Макрос удаляет файл по пути C:UsersPublicDocumentsManagerProc.log, а затем выполняет его. Этот файл служит загрузчиком под названием FakeUpdate.
- FakeUpdate расшифровывает и внедряет полезную нагрузку второго этапа — backdoor Phoenix v.4 — в собственный процесс.
- Версия 4 бэкдора характеризуется использованием DLL COM-моделей (Component Object Model) и реализует закрепление путем выполнения встроенного переносимого исполняемого файла по пути C:UsersPublicDownloadsMononoke.exe.
Инфраструктура и дополнительные инструменты
- На серверах управления (C2) обнаружены несколько утилит и пользовательский инструмент удаленного мониторинга и управления (RMM), вероятно используемые для удалённого доступа и сбора учётных данных из скомпрометированных систем.
- Наличие новых инструментов и модификаций указывает, что MuddyWater продолжает развивать свои возможности для проведения шпионских операций и повышения эффективности тактик проникновения.
Оценка и последствия
«Кампания демонстрирует сочетание целенаправленного фишинга с использованием компрометированных реальных аккаунтов и эволюцию вредоносных инструментов, что подтверждает намерения группы вести долговременную разведывательную активность», — отмечает Group-IB Threat Intelligence.
Такая модель атак представляет повышенную угрозу для организаций, вовлечённых в международное сотрудничество: компрометация коммуникаций и утечка учётных данных могут привести к долгосрочным последствиям для безопасности и репутации.
Рекомендации для организаций
- Усилить мониторинг входящих сообщений и проверку отправителей, включая дополнительные механизмы аутентификации (SPF/DKIM/DMARC).
- Ограничить выполнение макросов в офисных документах по умолчанию и применять многоуровневую проверку вложений.
- Проводить регулярный аудит учётных записей и настройку многофакторной аутентификации (MFA), особенно для государственных и критически важных почтовых ящиков.
- Контролировать и анализировать исходящие подключения через публичные VPN-узлы и реагировать на подозрительные активности с нестандартных географических локаций.
- Организовать реагирование на инциденты и своевременное выявление артефактов, таких как файлы ManagerProc.log, загрузчики типа FakeUpdate и исполняемые файлы вроде Mononoke.exe.
Выявленная кампания — очередное подтверждение того, что сложные APT-группы адаптируются и расширяют набор инструментов. Государственным структурам и международным организациям следует рассматривать такие инциденты как призыв к укреплению киберзащиты и совместному обмену информацией об угрозах.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



