Új célpontok, régi trükkök
Az akció augusztus 19-én kezdődött, amikor a hekkerek egy feltört fiókból indítottak adathalász kampányt a NordVPN szolgáltatáson keresztül. Az e-mailek számos közel-keleti és észak-afrikai kormányzati, illetve nemzetközi szervezethez jutottak el. Az ilyen támadások korábban főként nagykövetségeket, külügyminisztériumokat és konzulátusokat érintettek.
A támadások során a levelekhez Word dokumentumokat csatoltak, amelyek makró kódot tartalmaztak. A felhasználókat az engedélyezésre utasították, ami elindította a FakeUpdate nevű rosszindulatú program betöltését, majd annak merevlemezre írását.
Makrók és új backdoor: újra divat a régi módszer
Bár a makrók az Office programokban már alapértelmezetten nem futnak, a MuddyWater még mindig ezt a technikát alkalmazza egyes célpontoknál. A támadók által bejuttatott loader a Phoenix backdoor AES-sel titkosított verzióját fejti vissza, majd a C:ProgramDatasysprocupdate.exe elérési útra menti. A rendszer indulásakor a Windows registry módosításával biztosítja, hogy mindig elinduljon.
A Phoenix negyedik változata újdonságként COM-alapú állandósítási módszert is alkalmaz, emellett képes összegyűjteni a gép adatait (pl. számítógépnév, domain, Windows-verzió, felhasználónév), majd folyamatos kapcsolatot tart a vezérlőszerverrel.
Adatlopás és további fegyverek
A támadások során az iráni hekkerek egyedi adatlopó programot is használtak, amely böngészőkből – például Chrome, Opera, Brave vagy Edge – próbál jelszavakat és kulcsokat eltulajdonítani. A kutatók a MuddyWater C2 szerverein megtalálták a PDQ nevű szoftvertelepítő és -kezelő eszközt is, valamint az Action1 RMM távmenedzsment szoftvert, amelyeket szintén iráni akciókban alkalmaznak.
A biztonsági szakértők a támadásokat a jellemzően alkalmazott malware-ek, makrók és adatgyűjtési módszerek alapján egyértelműen a MuddyWater csoporthoz kötik.
