Sokkoló iráni kibertámadás: több mint 100 kormányzati szervezet veszélyben!

Új célpontok, régi trükkök

Az akció augusztus 19-én kezdődött, amikor a hekkerek egy feltört fiókból indítottak adathalász kampányt a NordVPN szolgáltatáson keresztül. Az e-mailek számos közel-keleti és észak-afrikai kormányzati, illetve nemzetközi szervezethez jutottak el. Az ilyen támadások korábban főként nagykövetségeket, külügyminisztériumokat és konzulátusokat érintettek.

A támadások során a levelekhez Word dokumentumokat csatoltak, amelyek makró kódot tartalmaztak. A felhasználókat az engedélyezésre utasították, ami elindította a FakeUpdate nevű rosszindulatú program betöltését, majd annak merevlemezre írását.

Makrók és új backdoor: újra divat a régi módszer

Bár a makrók az Office programokban már alapértelmezetten nem futnak, a MuddyWater még mindig ezt a technikát alkalmazza egyes célpontoknál. A támadók által bejuttatott loader a Phoenix backdoor AES-sel titkosított verzióját fejti vissza, majd a C:ProgramDatasysprocupdate.exe elérési útra menti. A rendszer indulásakor a Windows registry módosításával biztosítja, hogy mindig elinduljon.

A Phoenix negyedik változata újdonságként COM-alapú állandósítási módszert is alkalmaz, emellett képes összegyűjteni a gép adatait (pl. számítógépnév, domain, Windows-verzió, felhasználónév), majd folyamatos kapcsolatot tart a vezérlőszerverrel.

Adatlopás és további fegyverek

A támadások során az iráni hekkerek egyedi adatlopó programot is használtak, amely böngészőkből – például Chrome, Opera, Brave vagy Edge – próbál jelszavakat és kulcsokat eltulajdonítani. A kutatók a MuddyWater C2 szerverein megtalálták a PDQ nevű szoftvertelepítő és -kezelő eszközt is, valamint az Action1 RMM távmenedzsment szoftvert, amelyeket szintén iráni akciókban alkalmaznak.

A biztonsági szakértők a támadásokat a jellemzően alkalmazott malware-ek, makrók és adatgyűjtési módszerek alapján egyértelműen a MuddyWater csoporthoz kötik.

2025, adrienne, www.bleepingcomputer.com alapján