DarkBeatC2: иранская MuddyWater расширяет свой хакерский арсенал
Смещение акцента на использование легитимного софта делает группировку ещё скрытнее и опаснее.
В сети появилась информация о новом инструменте кибератак, разработанном иранской хакерской группировкой MuddyWater, также известной как Boggy Serpens, Mango Sandstorm и TA450. Cвязанная с Министерством разведки и безопасности Ирана киберпреступная группировка недавно внедрила в свои операции новую инфраструктуру управления «DarkBeatC2», которая стала последним дополнением арсенала хакеров после таких инструментов, как SimpleHarm и MuddyC2Go.
По данным Саймона Кенина, исследователя из Deep Instinct, несмотря на периодическую смену инструментов удалённого администрирования и фреймворков управления, методы MuddyWater остаются неизменными.
С 2017 года группа активно использует специально разработанные фишинговые атаки для развёртывания на скомпрометированных системах различных решений для удалённого мониторинга и управления. Операции группы не раз приводили к серьёзным последствиям, включая разрушительные атаки на израильские объекты, осуществляемые с помощью других связанных с Ираном киберпреступных групп.
Одной из последних злонамеренных кампаний, зафиксированных исследователями, является фишинговая рассылка электронных писем с вредоносными URL. По данным исследователей, в этой атаке хакеры использовали скомпрометированный аккаунт, связанный с израильским учебным заведением, что создало иллюзию легитимности и доверительного отношения к отправителю.
Помимо использования нового домена DarkBeatC2, группа начала применять сложные методы для управления заражёнными системами, включая PowerShell-скрипты и механизмы загрузки вредоносных библиотек через системный реестр.
Исследователи из Palo Alto Networks отметили, что для установления постоянства в системе MuddyWater использует задачи в планировщике Windows, а при помощи метода DLL Sideloading происходит непосредственный запуск вредоноса с последующим соединением с доменом DarkBeatC2.
Также в конце прошлого месяца стало известно, что MuddyWater активно использует на скомпрометированных хостах легитимное ПО вместо вредоносного, чтобы как можно дольше избежать обнаружения после проникновения в целевую сеть.
Несмотря на постоянные изменения в тактике и инструментах, киберпреступные группировки, такие как MuddyWater, продолжают активно угрожать безопасности сотен организаций. Осведомлённость и бдительность сотрудников, а также непрерывное совершенствование методов защиты, могут стать эффективным барьером на пути киберпреступников.
Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!