Эксперты Group-IB Threat Intelligence обнаружили масштабную фишинговую кампанию, которая с высокой степенью уверенности приписывается группе Advanced Persistent Threat (APT, продвинутая постоянная угроза) MuddyWater. Атака была нацелена на международные организации и государственные структуры Ближнего Востока и Северной Африки, при этом злоумышленники использовали скомпрометированный почтовый ящик для рассылки вредоносных писем. Целью кампании стал сбор разведывательной информации.
Описание
Группа MuddyWater, связанная с Ираном, уже несколько лет активно проводит шпионские операции по всему миру. В данной кампании злоумышленники получили доступ к почтовому аккаунту через NordVPN - легитимный сервис, который был использован для прикрытия реального местоположения. С помощью этого аккаунта MuddyWater рассылала фишинговые письма, маскируя их под официальную переписку. Такой подход позволял эксплуатировать доверие жертв к адресату и повышал вероятность успеха атаки.
В письмах содержались документы Microsoft Word, которые побуждали получателей включить макросы для просмотра содержимого. После активации макросов выполнялся вредоносный код на языке Visual Basic for Applications (VBA), который в конечном итоге приводил к установке на систему жертвы четвертой версии бэкдора Phoenix. Этот бэкдор обеспечивал злоумышленникам удаленный контроль над зараженными компьютерами, сбор данных и возможность проведения дальнейших атак.
Атрибуция кампании MuddyWater была проведена с высокой степенью уверенности на основе анализа инструментов, техник и процедур (TTPs). В частности, в атаке использовались уникальные семейства вредоносного ПО - FakeUpdate (инжектор) и Phoenix Backdoor, которые ранее наблюдались исключительно в операциях MuddyWater. Также специалисты Group-IB обнаружили совпадения в коде макросов, инфраструктуре и целевых предпочтениях группы, которая традиционно фокусируется на государственных организациях Ближнего Востока.
Целями атаки стали более 100 государственных учреждений, а также международные организации, занимающиеся вопросами сотрудничества и гуманитарной помощью. Анализ списка получателей писем показал, что злоумышленники обладают детальной информацией о своих жертвах: в рассылке фигурировали как официальные почтовые адреса (например, с доменом .gov), так и личные аккаунты на Yahoo, Gmail и Hotmail.
Четвертая версия бэкдора Phoenix продемонстрировала новые механизмы persistence (устойчивости в системе). Помимо модификации реестра в ключе Winlogon, в коде вредоноса был обнаружен дополнительный компонент - библиотека COM, предназначенная для запуска исполняемого файла Mononoke.exe. Этот артефакт ранее встречался в другом malware, связанном с MuddyWater, что указывает на возможную адаптацию инструментов внутри группы.
Инфраструктура командования и управления (C2) атаки была развернута на домене screenai[.]online, который регистрировался через NameCheap и использовал DNS-серверы CloudFlare для маскировки. Реальный IP-адрес сервера - 159.198.36[.]115 - принадлежал NameCheap и располагался во Франции. Активность C2-сервера продолжалась всего пять дней: с 19 по 24 августа 2025 года. За это время MuddyWater успела развернуть на нем несколько инструментов для удаленного доступа и сбора данных.
На сервере были обнаружены утилиты удаленного мониторинга и управления (RMM), включая PDQ RMM и Action1, а также кастомный стилер браузерных паролей Chromium_Stealer. Этот стилер маскировался под приложение-калькулятор и был способен извлекать учетные данные из Google Chrome, Opera, Brave и Microsoft Edge. Собранные данные сохранялись в зашифрованном виде в файле на зараженной системе.
Кампания MuddyWater демонстрирует растущую изощренность группы, которая умело сочетает социальную инженерию, обновленные версии собственного вредоносного ПО и легитимные инструменты для повышения скрытности. Учитывая геополитическую обстановку в регионе и историческую активность группы, эксперты Group-IB ожидают продолжения подобных операций с использованием новых скомпрометированных аккаунтов и модифицированных payload (полезных нагрузок). MuddyWater остается одной из наиболее устойчивых APT-групп, чья деятельность направлена на долгосрочный сбор разведывательной информации.
Индикаторы компрометации
IPv4
- 159.198.36.115
Domains
- screenai.online
URLs
- http://159.198.36.115:4444/chromium_stealer_user.exe
SHA256
- 1883db6de22d98ed00f8719b11de5bf1d02fc206b89fedd6dd0df0e8d40c4c56
- 3ac8283916547c50501eed8e7c3a77f0ae8b009c7b72275be8726a5b6ae255e3
- 3d6f69cc0330b302ddf4701bbc956b8fca683d1c1b3146768dcbce4a1a3932ca
- 5ec5a2adaa82a983fcc42ed9f720f4e894652bd7bd1f366826a16ac98bb91839
- 76fa8dca768b64aefedd85f7d0a33c2693b94bdb55f40ced7830561e48e39c75
