Иранская хакерская группа MuddyWater активизировала фишинговые атаки с новыми вредоносными программами

В ходе недавней кампании злоумышленники применяли два основных метода доставки вредоносного кода. Во-первых, они рассылали исполняемые файлы, замаскированные под PDF-документы. Например, файл "Transfer receipt#27789.pdf .exe" использовал иконку PDF и содержал фиктивную квитанцию израильской компании Cardinal Tours Ltd на иврите. При запуске эта программа расшифровывала и выполняла в памяти бэкдор UDPGangster.

Во-вторых, атакующие продолжали использовать документы DOC со злонамеренными макросами. Файл "Transfer receipt#27790.doc" при открытии автоматически запускал макросы, которые сохраняли и выполняли вредоносную программу novaservice.exe. Оба метода в конечном итоге загружали вариант бэкдора UDPGangster.

UDPGangster демонстрирует типичные возможности для удаленного доступа. Он копирует себя в системную папку, устанавливает автозагрузку через реестр Windows и подключается к командному серверу. Функционал включает сбор системной информации, выполнение команд, передачу файлов и загрузку дополнительных вредоносных модулей.

Особенностью последней кампании стало параллельное использование бэкдора Phoenix, который связывался с тем же командным сервером 64.7.198.12. Phoenix обладает схожим функционалом, включая выполнение команд, загрузку файлов и обеспечение постоянного доступа.

Анализ тактик, техник и процедур группы показывает эволюционный путь MuddyWater. Организация постепенно отказывается от стандартных инструментов удаленного администрирования в пользу собственных разработок. Алгоритмы шифрования, методы обфускации кода и схемы доставки соответствуют предыдущим операциям этой группы.

Целями атак традиционно становятся государственные учреждения, военные организации и телекоммуникационные компании. География инцидентов охватывает Ближний Восток, Европу и Северную Америку. Использование документов на иврите и тематика фиктивных документов указывают на сохранение интереса к израильским целям.

Эксперты по кибербезопасности рекомендуют организациям усилить контроль за входящей электронной почтой, особенно с вложениями исполняемых файлов и документов с макросами. Регулярное обновление антивирусного ПО и использование систем обнаружения вторжений могут помочь в выявлении подобных угроз. Кроме того, важно обучать сотрудников основам кибергигиены и правилам работы с подозрительными сообщениями.

IPv4 Port Combinations

• 157.20.182.75:1269
• 64.7.198.12:1259

URLs

• http://64.7.198.12:8080/imalive
• http://64.7.198.12:8080/register
• http://64.7.198.12:8080/request

MD5

• 07502104c6884e6151f6e0a53966e199
• 409d02d6153af220e527fd72256ee3a5
• 561b2983d558283c446ff674ff6138c3
• 7bfbc76c7eeb652d73b85c99ee83b339
• 9e06b36f4da737b8d699a6846c2540e9
• a39f74247367e0891f18b7662c8e69b5
• a546d2363a4b94e361d0874b690c853b
• a9235540208fa6a25614c24a59e19199
• aa75a0baebc93d4ca7498453ef64128a
• bed77abc7e12230439c0b53dd68ffaf7
• d84812961fc7cd8340031efd7b5508a8
• dd6af28d1a03193fc76001b04d5827cc
• de14abbda6a649d9ec90a816847f95db
• e09a720574a6594b1444ebc1d6cca969
• e5dd608292b6f421b0c108816d25fc5e