Íránská skupina MuddyWater útočila na běloruské, turecké a ukrajinské organizace
autor: Mirek Kočí , publikováno 20.4.2019

Íránská útočná kyberskupina MuddyWater je aktivní od roku 2017. Jak upozornil výzkumný tým Check Point Research, nedávno se objevila nová kampaň zaměřená na Bělorusko, Turecko a Ukrajinu. Útočníci přitom používají jednoduchý, ale účinný vektor infekce: Spearphishing.

„Útoky obvykle začínají cíleným e-mailem odeslaným organizaci. Dalším krokem je ukradení legitimních dokumentů z infikovaných systémů organizace a poté jejich zneužití a distribuce dalším nic netušícím obětem,“ říká Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point.

Soubory často obsahují loga skutečných společností nebo vládních subjektů, aby vše působilo důvěryhodněji, a připojena je zpráva, která uživatele vyzývá k povolení obsahu. Dobře zpracované škodlivé dokumenty využívají i sociální inženýrství a jsou první fází dlouhého infekčního řetězce, který končí infikováním powershellovým backdoorem POWERSTATS, který je právě spojovaný s touto útočnou skupinou. Tento výkonný backdoor může přijímat příkazy od útočníků, což umožňuje krást soubory z infikovaného systému, spouštět další skripty nebo třeba mazat soubory.

Íránská skupina MuddyWater útočila na běloruské, turecké a ukrajinské organizace

Tyto metody zůstávají od počátku stejné, ale některé mezifáze se mění, aby MuddyWater nebyl odhalen, když bezpečnostní společnosti zjistí předchozí taktiku, techniky a postupy. V tomto posledním útoku poprvé vidíme ve druhé fázi spustitelný soubor, který není napsán v PowerShellu.

Ačkoli se MuddyWater většinou zaměřuje na oblast Blízkého východu, politická příslušnost, motivy a cíle nejsou zatím příliš zřejmé. V minulosti patřily mezi hlavní cíle země jako Saúdská Arábie, SAE a Turecko, ale kampaně se postupně rozšířily i na další země jako Bělorusko a Ukrajina. Více informací najdete v analýze výzkumného týmu Check Point Research.



Tagy: MuddyWater  Spearphishing  
 
Komentáře k článku
RSS
Pouze registrovaní uživatelé mohou přidat komentář!

Redakce si vyhrazuje právo odstranit neslušné a nevhodné příspěvky. Případné vyhrady na diskuze(zavináč)pctuning.cz

6 čtenářů navrhlo autorovi prémii: 3Kč Prémie tohoto článku jsou již uzavřené, děkujeme za váš zájem.
Tento web používá k poskytování služeb soubory cookie.