Иранская группировка MuddyWater атаковала крупные израильские организации

Исследователи безопасности из ИБ-компаний Profero и ClearSky сообщили о предотвращении вредоносной кампании, организованной иранскими хакерами. Масштабная хакерская операция, получившая название Operation Quicksand, была нацелена на «крупные израильские организации».

Согласно отчету , хакерская группировка MuddyWater отправляла израильским организациям вариант вредоносного ПО PowGoop (вредоносная замена DLL-библиотеки обновлений Google). PowGoop представляет собой загрузчик для вымогателя Thanos с разрушительными возможностями.

Эксперты определили два основных вектора атаки:

• Первый вектор предполагал отправку вредоносного документа (PDF или Excel), который обменивался данными через OpenSSL с C&C-сервером киберпреступников и загружал файлы для дальнейшего развертывания полезной нагрузки PowGoop;

• Второй вектор предполагал использование уязвимости CVE-2020-0688 в Microsoft Exchange и развертывание той же полезной нагрузки через файл aspx (WebShell). Злоумышленник создавал внутренний сокет-туннель между скомпрометированными устройствами в сети. Для этого использовался модифицированный SSF (Socket). Затем злоумышленник загружал PowGoop.

Изначально атака выглядела так, словно злоумышленники хотели получить выкуп, однако «настоящей их целью была не кража данных, а нанесение ущерба». MuddyWater (также известная как Static Kitten) сосредоточена исключительно на кибершпионаже и атаках на правительственные структуры.

Как ранее сообщила Microsoft, MuddyWater также использовала уязвимость ZeroLogon ( CVE-2020-1472 ).