СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
5 декабря
#ИБ

Операция MuddyWater: MuddyViper и загрузчик Fooder атакуют инфраструктуру

Связанная с Ираном APT-группировка MuddyWater, действующая как минимум с 2017 года, провела масштабную кампанию целенаправленных атак на критически важные объекты инфраструктуры в Израиле и Египте. Кампания, охватившая период с 30 сентября 2024 по 18 марта 2025 года, продемонстрировала эволюцию возможностей группы: сочетание пользовательского вредоносного ПО, проверенных TTP и более разнообразного набора инструментов.

Кто такие MuddyWater

MuddyWater — стойкая APT-группа с предполагаемыми связями с Ираном. В последних операциях группа ориентировалась преимущественно на телекоммуникации, государственное управление и энергетический сектор, используя предсказуемую, но отточенную оперативную модель: spearphishing, доставка загрузчиков и развертывание бэкдоров для длительного доступа и эксфильтрации данных.

Краткая хронология кампании

  • Период активности: 30.09.2024 — 18.03.2025.
  • Метод начального проникновения: электронные письма типа spearphishing, направляющие жертв на загрузку программного обеспечения для удалённого мониторинга.
  • Развертывание мультикомпонентного вредоносного набора, включающего загрузчик и бэкдор.

TTP: как действовали атакующие

  • Spearphishing — персонализованные письма с приманкой, побуждающей скачать “Remote Monitoring” или иное ПО.
  • Загрузка и исполнение загрузчика, маскирующегося под легитимное приложение.
  • Долговременный доступ с возможностью кражи учетных данных, загрузки файлов и удалённого выполнения команд.
  • Связь с C&C через HTTPS (порт 443), зашифрованная SSL/TLS, что затрудняет детекцию сетевыми средствами.
  • Эвристики уклонения, включая функции сна, чтобы усложнить динамический анализ и sandboxes.
  • Использование множества специализированных инструментов для кражи учетных данных и эксфильтрации.

Ключевые вредоносные компоненты

  • Fooder — загрузчик, маскирующийся под простую игру. Его задача — подготовить окружение и запустить бэкдор.
  • MuddyViper — бэкдор, предоставляющий широкий набор возможностей: кража учетных данных, загрузка/скачивание файлов, выполнение команд. Взаимодействует с серверами C&C через HTTP поверх порта 443, зашифрованный SSL/TLS.
  • Идентифицированные серверы C&C: processplanet.org и IP-адрес, ассоциированный с Amazon Technologies.
  • CE-Notes и LP-Notes — инструменты credential-stealing:
    • LP-Notes маскируется под диалоговое окно безопасности Windows и запрашивает у жертвы логин и пароль.
    • CE-Notes захватывает и сохраняет учётные данные, хранимые в браузере.

«Маскировка Fooder под простую игру представляет собой загрузчик, который подготавливает и запускает бэкдор MuddyViper, обеспечивающий широкий доступ к зараженным системам».

Методы эксфильтрации и уклонения

Для эксфильтрации MuddyWater использовала отправку подробных обновлений статуса на C&C, что создаёт большой объём нормализованного трафика и усложняет обнаружение вредоносной активности. Кроме того, применение функций сна и других приёмов задержки препятствует успешному обнаружению в средах динамического анализа и sandboxes.

Оценка риска для организаций

  • Высокий риск компрометации критически важных систем в секторах телекоммуникаций, энергетики и государственного управления.
  • Угроза длительного скрытого присутствия (persistence) и массовой кражи учетных данных.
  • Сетевой трафик, замаскированный под легитимный HTTPS, затрудняет обнаружение без SSL-inspection или анализа поведения.

Практические рекомендации

  • Внедрить и активизировать MFA (многофакторную аутентификацию) повсеместно — это существенно снижает эффект credential-stealing.
  • Ограничить права на установку программного обеспечения; внедрить белые списки приложений (application allowlisting).
  • Настроить мониторинг исходящих HTTPS-соединений и применять SSL/TLS-inspection для выявления аномалий в C&C-трафике; блокировать домен processplanet.org и подозрительные IP, связанные с кампанией.
  • Развернуть EDR/NGAV с возможностью детектирования загрузчиков, бэкдоров и подозрительных поведений (необычные повторяющиеся статусы в исходящем трафике, процессы с длительными sleep-intervals и т.д.).
  • Проверять и ограничивать использование сохранённых паролей в браузерах; поощрять использование корпоративных секретных хранилищ и менеджеров паролей.
  • Проводить регулярное обучение пользователей по распознаванию spearphishing‑атак и правилам безопасного поведения при получении подозрительных писем.
  • Проводить hunt‑операции по обнаружению артефактов MuddyViper, Fooder, CE-Notes и LP-Notes на конечных точках и серверах.

Вывод

Кампания MuddyWater за осень 2024 — весну 2025 года демонстрирует, что группа эволюционировала: она использует как проверенные TTP, так и собственные инструменты — загрузчики и бэкдоры — для достижения устойчивого доступа и массовой кражи данных. Организациям, особенно в целевых секторах, нужно срочно пересмотреть меры защиты, усилить мониторинг и провести проактивные расследования, чтобы выявить и нейтрализовать возможные компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: