Поделиться
Иранские хакеры начали новую кибершпионскую кампанию на четырех континентах
Иранские хакеры MuddyWater расширяют ареал деятельности. Квалификация операторов APT-группировки также постоянно растёт, отмечают исследователи.
Старые, но рабочие методы
Иранская хакерская группа MuddyWater осуществляет новую кибершпионскую кампанию, которая с начала 2026 г. затронула как минимум девять организаций в девяти странах на четырех континентах. Исследователи киберугроз из компаний Symantec и Carbon Black, указывают на значительное расширение географического ареала хакерской деятельности акторов, аффилированных с Ираном.
Среди объектов атаки, например, крупный южнокорейский производитель электроники: операторы кампании провели в его инфраструктуре не менее недели.
Кроме того, среди атакованных - международный аэропорт на Ближнем Востоке, промышленные предприятия Юго-Восточной Азии и латиноамериканская компания, предоставляющая финансовые услуги.
Атаки были направлена на предприятия и на образовательные и государственные учреждения.
Как установили исследователи Broadcom/Symantec, операторы MuddyWater активно использовали метод побочной подгрузки DLL-файлов с помощью бинарных файлов Fortemedia (fmapp.exe) и SentinelOne (sentinelmemoryscanner.exe), обладающих действительной (валидной) цифровой подписью - для запуска вредоносных DLL-файлов, маскирующихся под легитимное программное обеспечение.
Использование fmapp.exe для загрузки fmapp.dll ранее задокументировали исследователи компании Group-IB. В том случае речь также шла об атаках со стороны MuddyWater - под кодовым названием Operation Olalampo. По данным фирмы Huntress, DLL-файл содержит код для подключения к контролируемому злоумышленником IP-адресу (157.20.182[.]49).
Использование sentinelmemoryscanner.exe - исполняемого файла, относящимся к средствам защиты от кибератак, - помогает обойти обнаружение сигнатурными сканерами. Его предназначение - установка вредоносной DLL-библиотеки под названием sentinelagentcore.dll.
Обе DLL-библиотеки содержат встроенный инструмент с открытым исходным кодом под названием ChromElevator, предназначенный для извлечения паролей, файлов cookie и данных платежных карт из браузеров на основе Chromium.
Node.js как оружие
Примечательным аспектом этих атак является использование скриптов Node.js для запуска кода PowerShell, отвечающего за операции обнаружения и сбора информации. По крайней мере в одном случае было обнаружено, что злоумышленники размещали украденные данные на sendit.sh, общедоступном сервисе для передачи файлов.
«Для внедрения скриптов PowerShell, с помощью которых осуществлялась разведка сетевого окруженгия, создание скриншотов, кража SAM-архива, повышение привилегий и туннелирование через обратный прокси-сервер SOCKS5, использовалась цепочка имплантов на основе node.exe», — заявили Symantec и Carbon Black.
Предполагается, что в ходе атаки на южнокорейского производителя электроники компания MuddyWater неоднократно проводила разведку с использованием PowerShell, а также повторно запускала два исполняемых файла, чтобы обеспечить сохранение доступа к скомпрометированному хосту. Первоначальный вектор доступа, использованный для взлома организации, неизвестен.
«В целом складывается впечатление, что MuddyWater эффективно использует неоригинальные, но рабочие методики в своих атаках, хотя, как отмечают исследователи Symantec, операторам кампании приходится преодолевать уже куда более серьёзную защиту, чем два или три года назад», - говорит Александр Зонов, эксперт по информационной безопасности компании SEQ. - «Но в результате и собственная компетентность хакеров растёт: гонка кибервооружений продолжается и ускоряется».
Поделиться
Короткая ссылка
