Новая кампания MuddyWater: целевые атаки на критическую инфраструктуру с улучшенной скрытностью

В отличие от предыдущих, более шумных операций, новая кампания демонстрирует более сфокусированный и изощренный подход. Атакующие развернули набор ранее не документированных кастомных инструментов, целью которых является улучшение скрытности и устойчивости в системе. Ключевым элементом стал новый загрузчик Fooder, предназначенный для выполнения в памяти бэкдора MuddyViper, написанного на C/C++. Примечательно, что несколько версий Fooder маскируются под классическую игру «Змейка». Внутренняя логика загрузчика включает пользовательскую функцию задержки, вдохновленную механикой игры, в сочетании с частыми вызовами Sleep API. Эти функции призваны задержать выполнение вредоносного кода и затруднить автоматический анализ.

Бэкдор MuddyViper предоставляет злоумышленникам широкий набор возможностей. Он позволяет собирать системную информацию, выполнять файлы и команды командной строки, передавать файлы, а также похищать учетные данные Windows и данные браузеров. Кампания также использует похитители учетных данных CE-Notes и LP-Notes, а также инструменты обратного туннелирования go-socks5, давно любимые операторами MuddyWater. Важной особенностью является намеренное избегание интерактивных сессий с ручным вводом команд, которые исторически создавали много шума и были легко обнаружимы.

Особый интерес вызывает оперативное перекрытие с другой иранской группировкой Lyceum, подгруппой OilRig. В январе-феврале 2025 года MuddyWater провела совместную подкампанию, в ходе которой инициировала доступ через целевое фишинговое письмо с ссылкой на установщик ПО удаленного управления Syncro. После первоначального компрометирования атакующие установили дополнительный инструмент PDQ и развернули кастомный загрузчик Mimikatz, замаскированный под файлы сертификатов. На основе собранных учетных данных, вероятно, группа Lyceum получила доступ и взяла под контроль операции в целевой организации производственного сектора в Израиле. Это сотрудничество позволяет предположить, что MuddyWater может действовать как брокер первоначального доступа для других проиранских групп.

С технической точки зрения исследователи отмечают несколько новых особенностей. Разработчики MuddyWater начали использовать CNG, криптографический API следующего поколения от Microsoft, что является уникальным для иранских групп и нетипично для общего ландшафта угроз. Кроме того, инструменты MuddyViper и загрузчики CE-Notes/LP-Notes используют CNG API для шифрования и дешифрования данных. Еще одной общей чертой является попытка кражи учетных данных пользователей путем отображения поддельного диалогового окна безопасности Windows.

Жертвами кампании стали организации в различных вертикалях, включая инжиниринг, местное самоуправление, производство, технологии, транспорт, коммунальные услуги и университеты. Примечательно, что организация в секторе коммунальных услуг была также скомпрометирована группировкой Lyceum 11 февраля 2025 года, что подчеркивает координацию между группами.

Несмотря на улучшения, исследователи указывают на сохраняющиеся признаки операционной незрелости MuddyWater. Например, бэкдор MuddyViper отправляет чрезвычайно подробные и частые статус-сообщения на свой командный сервер, что приводит к существенному сетевому трафику. Он также хранит обширный список из более чем 150 имен процессов и деталей о соответствующих продуктах безопасности для отчетности, хотя эту логику можно было бы легко реализовать на стороне сервера.

В целом, эта кампания указывает на эволюцию операционной зрелости MuddyWater. Развертывание ранее не документированных компонентов сигнализирует о стремлении улучшить скрытность, устойчивость и возможности по сбору учетных данных. Использование техник уклонения, вдохновленных играми, обратного туннелирования и диверсифицированного набора инструментов отражает более изощренный подход по сравнению с ранними кампаниями. Ожидается, что MuddyWater останется одним из ведущих игроков в проиранской киберактивности, продолжая сочетать типичные кампании с более продвинутыми тактиками, техниками и процедурами (TTP).

IPv4

• 157.20.182.45
• 161.35.172.55
• 167.99.224.13
• 194.11.246.101
• 194.11.246.78
• 206.71.149.51
• 212.232.22.136
• 3.95.7.142
• 35.175.224.64
• 51.16.209.105
• 62.106.66.112

Domains

• api.tikavodot.co.il
• magicallyday.com
• processplanet.org

SHA1

• 007b5cd6d6acf972f7743f79e23cab9bb2ecbee3
• 0657d0b0610618886ddd74c3d0a1d582cdd24863
• 0e9a4892cfa1c9065b36d8f2e164e28609a8cf5d
• 13da612d75dc5268f5235f5bace6d8f0db0091ff
• 1723d5ea7185d2e339fa9529d245daa5d5c9a932
• 25361183de63f296ba71b6fcf0725e022b3c989a
• 2939fd218e0145d730bd94aa1c76386a5259eace
• 29cda06701f9a9c0a6791775c3eb70f5b52bbeff
• 2b09241ca025bdc4455e9f6ba6009e2f27c08edf
• 2e9be23cdd8152db6cd1a54e001c4ea82ff6f1c6
• 3bc6502a55a4d5d29132da4d9943e154a810cc83
• 45fa7de711fea1f8d1e348e87834246c455dd2ed
• 47b70c47beb33e88b4197d6af1b768230e51b067
• 4e0ef2386980639fc5355fd68daff54eb2ad622e
• 4e9529ba4a6e42d6278d37e3fdee9e1d991cebe0
• 50c6d4a2ad16a231cf11c43f3bbc868d90e20d25
• 52009f36058337b6401da0a0f4885a0c185f0520
• 535882b6edab29247e035236a84ca510fb1e0854
• 544ce18e4c1f1b288dee6018dfcf4e4d4a315f7a
• 54ebc125039cc83e4682ca44dd592534562b25c3
• 5a08150c1dc17e9f691296f0a577c2ec9ba8028c
• 5d1e61da8083c41ff1fc23a1222a4a88b43a4e9b
• 6532e0437c8913fa418f1ee258561b15bbee9052
• 69b097d8a3205605506e6c1cc3c13b71091cb519
• 6ca41565844118385b345a39a9b79e0bbc0dd338
• 6fc50a99aae1d6c40111632d4f49bd19f9794cf6
• 76632910cf67697bf5d7285fae38bfcf438ec082
• 7950296331802188eb99e232e2c383cb9fdd5d7d
• 826cff5d85713ce4b2f3c15ab53a84e6848d2e2c
• 8580824fe14db158388102b16c1c79dfbba36083
• 87add79c7c8335447113ee0d413f52ae2b17f066
• 8e21de54638a79d8489c59d958b23fe22e90944a
• 8f3ed626e7b929450e36e97ba5539c8371df0ef8
• 93055115559219be8441880597c533381b99213b
• 97c3376ab551e899f347cc9ddf49ea01db2d7903
• 99fad0862e2e8d363f3e18952fd92e09493cc27d
• a101cbccd950aa36fc3b40c3c331fde43acdbbd2
• a227c0a4425e24268b759a740231676a589ca4e6
• a9747a3f58f8f408fecefc48db0a18a1cb6dacae
• a997a7aae727d2c12cce80fe3607317775a4df3e
• b0271ca76052ec340014d7bccdbd69325a4e60f2
• b0cd4f5df192bffe6500e44b80c28505dfd9ca66
• b16e7d56a8dc0ff6b3afd797e1eab22b20dffb39
• b48b93b4eb69d01588d371356ede614c5e7378de
• b7a8f09cb5ff8a33653988ffba585118acf24c13
• b8997526e4781a6a1479690e30072f38e091899d
• c1299e8c9a8567a9c292157f3ed65b818aa78900
• cd36f93dbc4c718930593d8f029efdcaa52b619b
• cd47420f5ce408d95c98306d78b977cda0400c8f
• d46900d78ae036967e0b37f9ec6a8000131ae604
• d49979d0063b28bd73390481e6ae642c00ce0791
• d518f5c648ab64b390a29aa2858219318cfc556a
• df223d653f761ed55f9c0774f1dbf545fd741f86
• df8fc5213aa11ee445ead1aae17a826e7d51a743
• e02dd79a8caed662969f6d5d0792f2cb283116e8
• e8f4ea3857ef5fdfec1a2063d707609251f207db
• ea8a1c2382ff765709d7f78ef60482598e4c0deb
• eaf4bafc62170c9fca1f6b591848883dbf97f93d
• f26cae9e79871df3a47fa61a755dc028c18451fc
• f5efba6ccba5a6ad6c3afa928c0e5eaa44597411
• ff09608790077e1ba52c03d9390e0805189adad7