MuddyWater свирепствует: легальные RMM-программы на службе у иранских хакеров
Виртуозная маскировка не оставляет компаниям и шанса на обнаружение атак.
Исследователи безопасности из 360 Advanced Threat Research Institute недавно обнаружили, что иранская хакерская группировка MuddyWater активно использует легальные программы для удалённого мониторинга и управления (RMM) в своих атаках. Эта группировка действует с 2017 года, в основном атакуя организации на Ближнем Востоке, а также в Европе и Северной Америке. В фокусе их атак находятся государственные учреждения, военные структуры, телекоммуникационные и нефтяные компании.
Специалисты выявили, что с 2020 года MuddyWater использует различные RMM программы для проникновения в целевые системы. Среди таких программ значатся Remote Utilities, ScreenConnect, SimpleHelp, Syncro, N-Able и Atera Agent. Хакеры используют эти программы, чтобы получить полный контроль над компьютерами жертв, выполняя команды, загружая и скачивая файлы.
Одной из ключевых тактик является фишинг, при котором злоумышленники рассылают письма с вложениями, замаскированными под легитимные документы, часто на арабском языке. Например, для распространения программы Atera Agent они используют RAR-архивы, защищённые паролем. После ввода пароля и установки вредоносного ПО, Atera закрепляется в системе жертвы. Тем самым, злоумышленники получают полный контроль над устройством, оставаясь при этом необнаруженными.
Другой часто используемой MuddyWater программой является ScreenConnect. Хакеры маскируют её под архив с арабским документом, после чего программа запускается и позволяет злоумышленникам удалённо управлять заражённым компьютером. Аналогичный сценарий применяется с другими программами, такими как Remote Utilities и N-Able, где заражение происходит через документы в формате PDF и фишинговые ссылки.
Особое внимание специалисты уделяют использованию программного обеспечения Syncro. Эта программа отличается тем, что может распространяться через HTML-файлы, которые менее заметны для антивирусного ПО. MuddyWater также использует легальные файловые хранилища, такие как Dropbox, чтобы обойти системы безопасности и избежать обнаружения.
Исследования показывают, что атаки группировки продолжаются и в 2024 году. MuddyWater расширяет свои возможности, добавляя новые инструменты, что усложняет обнаружение и противодействие. Специалисты подчёркивают, что данный метод атак с использованием легального ПО представляет серьёзную угрозу для организаций и пользователей, особенно в тех случаях, когда фишинг удаётся.
Эксперты 360 Advanced Threat Research Institute призывают организации к повышению осведомлённости о подобных угрозах и призывают воздерживаться от открытия неизвестных файлов и ссылок в электронных письмах. Также важно регулярно обновлять системы безопасности и обучать сотрудников основам кибергигиены, чтобы избежать утечек данных и других серьёзных последствий.