Специалисты Group-IB зафиксировали значительное усиление активности иранской государственной группировки MuddyWater, которая с начала 2025 года расширила операции на страны Европы и США. Группировка, связанная с Министерством разведки и безопасности Ирана, демонстрирует возросшую операционную изощренность, переходя от массовых кампаний к точечным целевым атакам с использованием собственных вредоносных разработок.
Описание
Исторически MuddyWater полагалась на фишинговые рассылки с вредоносными документами для заражения жертв, часто используя скомпрометированные учетные записи для имитации государственных или академических учреждений. Однако с начала года наблюдается заметный сдвиг: группировка значительно сократила использование инструментов удаленного мониторинга и управления (RMM), вернувшись к более целенаправленному подходу. Хотя RMM-программы все еще применяются, акцент сместился на кастомные бэкдоры, такие как Phoenix, StealthCache и PowerShell-скрипты.
Для доставки вредоносного кода продолжают использоваться фишинговые письма с документами, содержащими зловредные макросы. Инфраструктурный анализ выявил активное использование Amazon Web Services (AWS) для размещения вредоносных активов, а также сервисов Cloudflare для сокрытия отпечатков инфраструктуры и затруднения анализа. Группировка задействует хостинги множества коммерческих провайдеров, включая M247, SEDO, DigitalOcean, OVH, а также устойчивые к давлению bulletproof-хостинги, такие как Stark Industries, что указывает на deliberate mixing of mainstream and resilient infrastructure.
Среди новых инструментов, замеченных в арсенале MuddyWater, - бэкдор BugSleep, разработанный на C/C++ и активно применявшийся во второй половине 2024 года против организаций Ближнего Востока, Турции, Азербайджана и ряда европейских стран. BugSleep выполняет команды и обеспечивает передачу файлов между зараженными машинами и сервером управления. Множественные версии malware демонстрируют ongoing development со стороны threat actors.
StealthCache представляет собой более продвинутый бэкдор с расширенным набором функций, включая кражу данных, обнаружение средств защиты (EDR и антивирусы) и взаимодействие по HTTP(S). Phoenix - это минималистичный бэкдор, который копирует себя в систему, регистрируется на C2 и выполняет команды, такие как запуск интерактивной оболочки или установка персистентности. Fooder выступает в роли загрузчика, использующего side-loading и многопоточность для осложнения анализа.
Группировка также weaponizes открытые проекты на Golang, такие как HackBrowserData для кражи данных браузеров, go-socks5 для проксирования трафика и Yamux для мультиплексирования соединений. Дополнительные инструменты включают CannonRat (RAT), LiteInject (инжектор PE) и UDPGangster (UDP-бэкдор).
Инфраструктура MuddyWater отличается разнообразием: помимо AWS и Cloudflare, группировка использует хостинги M247, OVH, DigitalOcean, а также bulletproof-провайдеров. C2-серверы часто развертываются на Python-технологиях (Werkzeug, Uvicorn), с шифрованием трафика и коротким временем жизни для усложнения обнаружения. Домены регистрируются через Namecheap, а TLS-сертификаты получаются от Let’s Encrypt и Google Trust Services.
Несмотря на попытки замести следы, MuddyWater допускает ошибки в области операционной безопасности (OPSEC), такие как повторное использование доменов, сертификатов и серверов, что позволяет исследователям отслеживать и атрибутировать деятельность. Группа также использует VPN-провайдеров, таких как NordVPN, для обхода геоблокировок и заметания следов.
Целями MuddyWater традиционно являются телекоммуникационные компании, государственные учреждения, энергетический сектор, оборонная промышленность и операторы критически важной инфраструктуры. Их настойчивые кампании подчеркивают их роль в поддержке интересов иранской разведки, при этом сохраняя правдоподобное отрицание государственных киберопераций.
Постоянное совершенствование инструментов, инфраструктуры и тактик наряду с методами counter-attribution указывает на то, что MuddyWater останется устойчивой и адаптивной угрозой, особенно в регионах и секторах, связанных со стратегическими интересами Ирана.
Индикаторы компрометации
IPv4
- 104.21.81.7
- 157.230.9.58
- 162.255.119.28
- 172.67.136.150
- 172.67.152.185
- 194.11.246.101
- 194.11.246.78
- 77.91.74.235
- 91.195.240.19
Domains
- netivtech.org
- processplanet.org
- www.netivtech.org
URLs
- http://46.101.36.39/register
- http://46.101.36.39:443/imalive
- http://46.101.36.39:443/request
- https://netivtech.org/adad
- https://netivtech.org/aq36
- https://netivtech.org/imalive
- https://netivtech.org/register
- https://netivtech.org/request
- https://netivtech.org/rq13
SHA256
- 40dead1e1d83107698ff96bce9ea52236803b15b63fb0002e0b55af71a9b5e05
- 5f22f4c4fdb36c4f0ea3248abb00521e39008c1fb4c97e1b4a9c7b9ef0b691c2
- f782dfdc7ce624f98356c149fbb27f7e9b258183640943543bbf561c8af13db0
