Иранская APT-группа MuddyWater использует вредоносный сервис CastleRAT для шпионажа против Израиля

Группа MuddyWater (также известная как Seedworm, Mango Sandstorm, TA450) действует в интересах иранского Министерства разведки и безопасности (MOIS) с 2017 года. Традиционно её арсенал состоял из относительно простых инструментов: скриптов на PowerShell, легитимных средств удалённого администрирования (RMM) и бекдоров. Однако последние данные свидетельствуют о стратегическом сдвиге. Вместо разработки собственных сложных инструментов группа стала клиентом преступного сервиса CastleRAT, что предоставило ей доступ к передовым возможностям, таким как скрытый удалённый доступ (HVNC), обход шифрования cookie-файлов браузера Chrome и устойчивое к блокировкам командование через блокчейн.

Ключевым доказательством связи стал анализ скомпрометированного командного сервера (C2) MuddyWater с IP-адресом 157.20.182.49. На этом сервере, содержащем комментарии на фарси и списки израильских IP-адресов для таргетирования, исследователи обнаружили PowerShell-скрипт "reset.ps1". Этот скрипт развёртывает ранее не документированный вредоносный агент на Node.js, названный ChainShell. Агент использует инновационный метод командования: он получает адрес своего C2-сервера из смарт-контракта в сети Ethereum, обращаясь к десяти различным RPC-провайдерам, что делает инфраструктуру крайне устойчивой к выявлению и блокировке. Отчёт JUMPSEC указывает, что хэш этого скрипта на сервере MuddyWater совпадает с образцом, независимо собранным из публичных репозиториев вредоносного ПО, что подтверждает прямую операционную связь.

Помимо ChainShell, на том же сервере была зафиксирована активность, связанная непосредственно с CastleRAT. История команд оператора (.bash_history) показывает тестирование портов 8888 и 9999, которые соответствуют портам прослушивания двух различных сборок CastleRAT - Build 13 и Build 120. Эти сборки, спрятанные внутри изображений с помощью стеганографии, были скомпилированы незадолго до военной эскалации между США, Израилем и Ираном 28 февраля, что указывает на предварительное развёртывание возможностей в ожидании конфликта.

Вторым неоспоримым доказательством стала цепочка цифровых сертификатов. Бинарные файлы, используемые в цепочке доставки вредоносного ПО, были подписаны сертификатами на имена "Эми Черн" (Amy Cherne) и "Дональд Гей" (Donald Gay). Эти же сертификаты использовались для подписи StageComp - инструмента, который такие компании, как Google, Microsoft и "Лаборатория Касперского", однозначно атрибутируют MuddyWater. Анализ MSI-установщика, подписанного сертификатом "Эми Черн", показывает, что он связывается с C2-доменом "serialmenot.com", передавая идентификаторы кампании "Smokest". Эти идентификаторы, в свою очередь, жёстко прописаны в названиях запланированных задач внутри сборок CastleRAT Build 120 и Build 666, замыкая атрибуционную цепь от известного инструмента MuddyWater к новой платформе.

Важно понимать, что MuddyWater выступает именно клиентом, а не разработчиком платформы. Сервис TAG-150 работает по модели MaaS, предоставляя разным заказчикам шаблоны для создания собственных кастомизированных сборок. Это подтверждается русскоязычными строками в коде, функцией проверки локали системы, которая прекращает работу на компьютерах в странах СНГ (что характерно для российских угроз), а также фактом использования идентичной кодовой базы другими преступными группами, например, операторами программ-вымогателей LeakNet.

Для организаций, особенно в оборонном, аэрокосмическом, энергетическом и государственном секторах, которые традиционно являются целями иранского шпионажа, эта конвергенция несёт серьёзные последствия. Атаки теперь сочетают целевой, тщательно спланированный характер Advanced Persistent Threat (APT) с технологической изощрённостью и скоростью развёртывания, присущими коммерческому киберкриминалу. Например, функция Hidden VNC (HVNC) позволяет злоумышленнику создавать скрытый сеанс удалённого рабочего стола, незаметно управляя системой и получая доступ к веб-приложениям (корпоративная почта, облачные сервисы) прямо в контексте сессии легитимного пользователя, обходя многофакторную аутентификацию.

Ситуация также значительно усложняет первоначальную атрибуцию инцидентов. Обнаружение в сети артефактов CastleRAT с русскоязычными следами может направить расследование по ложному следу в сторону российских киберпреступников, в то время как реальным оператором является государственная иранская группа. Это требует от SOC-команд (Security Operations Center - центров мониторинга и реагирования на инциденты ИБ) и специалистов по киберразведке более глубокого контекстуального анализа, выходящего за рамки жёсткого разделения угроз на "киберпреступность" и "APT". Устойчивость новой инфраструктуры на базе блокчейна, активность которой продолжалась вплоть до 20 марта, несмотря на публичное разоблачение, свидетельствует о высокой операционной живучести и сохраняющейся угрозе для целевых организаций.

IPv4

• 172.86.123.222

IPv4 Port Combinations

• 157.20.182.49:8888
• 23.94.145.120:9999

Domains

• mazafakaerindahouse.info
• serialmenot.com
• sharecodepro.com
• ttrdomennew.com

SHA256

• 3df9dcc45d2a3b1f639e40d47eceeafb229f6d9e7f0adcd8f1731af1563ffb90
• 49f17c061a72cadaf9e3f90cc380e994883a965b7a4ad8953d8e8089c65908e6
• 4aaf77c410f1f465d5e9063af60a07ad184e7a92ee87c973c2ea1542bfd66bff
• 7ab597ff0b1a5e6916cad1662b49f58231867a1d4fa91a4edf7ecb73c3ec7fe6
• 94f05495eb1b2ebe592481e01d3900615040aa02bd1807b705a50e45d7c53444
• a8c380b57cb7c381ca6ba845bd7af7333f52ee4dc4e935e98b48bb81facad72b
• a92d28f1d32e3a9ab7c3691f8bfca8f7586bb0666adbba47eab3e1a8faf7ecc0
• bedb882c6e2cf896e14ecf12c90aaa6638f780017d1b8687a40b4a81956e230f
• c8589ca999526f247db4d3902ade8a85619f8f82338c6230d1b935f413ddcb3d
• d91f7a2962c0e9de3cd4ea9c770092d86b1641e89f0a7be2307b6451f00e5271