СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16.11.2025
#ИБ#ИИ

MuddyWater: фишинговые кампании с бэкдорами UDPGangster и Phoenix

Группа MuddyWater возобновила кампанию целевого phishing, применяя изощрённые методы доставки вредоносного ПО. Злоумышленники маскируют исполняемые файлы под законные документы (PDF и DOC) со включённым macro, что позволяет при запуске инициировать выполнение вредоносного кода и развертывание backdoor UDPGangster. Атаки сопровождаются заметной корреляцией с backdoor Phoenix, у которого обнаружено сходство в механизмах командования и контроля (C2) и в прошлых кампаниях распространялся через macro.

Ключевые детали инцидента

  • Вектор доставки: целевой phishing с вложениями, замаскированными под PDF/DOC.
  • Механизм выполнения: документы содержат macro, которые загружают и запускают исполняемые файлы.
  • Основной полезный модуль: backdoor UDPGangster, обеспечивающий несанкционированный доступ и возможность эксфильтрации данных.
  • Корреляция с backdoor Phoenix: сходство в C2-механизмах и аналогичное применение macro в предыдущих атаках.
  • Тактика: последовательное использование доверия к документам и элементов социальной инженерии для повышения вероятности успешного выполнения.

Что делает backdoor UDPGangster

По данным отчёта, backdoor UDPGangster предназначен для выполнения различных операций по краже данных и созданию канала для удалённого управления компрометированной системой. В результате злоумышленники получают возможности для:

  • несанкционированного доступа к системе;
  • извлечения и эксфильтрации конфиденциальной информации;
  • поддержания связности с инфраструктурой C2 для дальнейших действий.

Значение корреляции с Phoenix

Наличие схожих механизмов C2 и одинаковой техники распространения через macro указывает на последовательную тактику нападающих. Это может означать либо координацию между группами/операторами, либо эволюцию одной и той же угрозы с применением проверенных в прошлых кампаниях приёмов. Такая практическая стандартизация приёмов облегчает злоумышленникам достижение успешной компрометации при одновременном усложнении обнаружения для защитников.

«Использование доверия к документам и макросов остаётся эффективным вектором, поэтому организации должны усиливать контроль над обработкой вложений и повышать осведомлённость пользователей», — отмечают аналитики.

Рекомендации по защите

Учитывая описанную кампанию, организациям рекомендуется принять следующие меры:

  • Отключить автоматическое выполнение macro в офисных приложениях и внедрить политику блокировки неподписанных макросов.
  • Усилить обучение сотрудников по распознаванию phishing-писем и техники социальной инженерии.
  • Внедрить многоуровневую фильтрацию электронной почты и сканирование вложений на уровне шлюза.
  • Развернуть EDR/AV-решения с возможностью обнаружения поведенческих индикаторов работы backdoor и аномального сетевого трафика к C2.
  • Мониторить сетевой трафик на предмет необычных UDP-соединений и аномалий, сопоставимых с известными паттернами C2.
  • Регулярно выполнять резервное копирование и сегментацию сети, чтобы минимизировать последствия компрометации.

Вывод

Кампания MuddyWater демонстрирует сохранение и развитие проверенных векторов атаки: маскировку под документы, использование macro и внедрение backdoor-решений типа UDPGangster с параллельными связями к Phoenix. Это подчёркивает необходимость проактивных мер безопасности, постоянного обучения персонала и улучшения обнаружения на уровне сети и конечных точек. Без этих шагов риск успешной компрометации остаётся высоким.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: