Der vom iranischen Staat gesponserte Bedrohungsakteur MuddyWater wird für einen neuen Schwarm von Angriffen auf die Türkei und die Arabische Halbinsel verantwortlich gemacht, die darauf abzielen, Remote-Access-Trojaner (RATs) auf kompromittierten Systemen zu installieren.
„Die Supergruppe MuddyWater ist hoch motiviert und kann unbefugten Zugang nutzen, um Spionage zu betreiben, geistiges Eigentum zu stehlen und Ransomware und zerstörerische Malware in einem Unternehmen zu installieren“, so die Cisco Talos Forscher Asheer Malhotra, Vitor Ventura und Arnaud Zobec in einem heute veröffentlichten Bericht.
Die Gruppe, die seit mindestens 2017 aktiv ist, ist für ihre Angriffe auf verschiedene Bereiche bekannt, die dazu beitragen, die geopolitischen und nationalen Sicherheitsziele des Irans voranzutreiben. Im Januar 2022 schrieb das U.S. Cyber Command den Akteur dem iranischen Ministerium für Nachrichtenwesen und Sicherheit (MOIS) zu.
MuddyWater ist vermutlich ein „Konglomerat aus mehreren Teams, die unabhängig voneinander operieren, und nicht eine einzelne Gruppe von Bedrohungsakteuren“, so das Cybersecurity-Unternehmen weiter, was es zu einem Dachakteur nach dem Vorbild von Winnti, einem chinesischen Advanced Persistent Threat (APT), macht.
Bei den jüngsten Kampagnen der Hacker-Crew wurden mit Malware verseuchte Dokumente über Phishing-Nachrichten verschickt, um einen Remote-Access-Trojaner namens SloughRAT (auch bekannt als Canopy von CISA) zu installieren, der beliebigen Code und Befehle ausführen kann, die er von seinen Command-and-Control (C2)-Servern erhält.
Das Maldoc, eine Excel-Datei mit einem bösartigen Makro, löst die Infektionskette aus und legt zwei Windows Script Files (.WSF) auf dem Endpunkt ab. Die erste Datei dient als Instrument, um die nächste Stufe der Nutzlast aufzurufen und auszuführen.
Außerdem wurden zwei weitere skriptbasierte Implantate entdeckt, von denen eines in Visual Basic und das andere in JavaScript verfasst ist, die beide dazu dienen, bösartige Befehle herunterzuladen und auf dem angegriffenen Rechner auszuführen.
Darüber hinaus sind die jüngsten Einbrüche die Fortsetzung einer Kampagne vom November 2021, bei der türkische Privatunternehmen und Regierungseinrichtungen mit PowerShell-basierten Hintertüren angegriffen wurden, um Informationen von ihren Opfern zu sammeln.
Die Gemeinsamkeiten in den Taktiken und Techniken, die von den Betreibern angewandt wurden, haben die Möglichkeit aufgeworfen, dass es sich bei diesen Angriffen um „unterschiedliche, aber miteinander verbundene Aktivitätscluster“ handelt, wobei die Kampagnen ein „breiteres TTP-Sharing-Paradigma nutzen, das typisch für koordinierte operative Teams ist“, so die Forscher.
Bei einer zweiten Teilangriffssequenz, die Cisco Talos zwischen Dezember 2021 und Januar 2022 beobachtete, richtete der Angreifer geplante Aufgaben ein, um VBS-basierte bösartige Downloader abzurufen, die die Ausführung von Nutzdaten ermöglichen, die von einem entfernten Server abgerufen wurden. Die Ergebnisse des Befehls werden anschließend an den C2-Server zurückgeschickt.
„Obwohl sie bestimmte Techniken gemeinsam haben, weisen diese Kampagnen auch eine individuelle Vorgehensweise auf, was darauf hindeutet, dass es unter dem Dach von Muddywater mehrere Unterteams gibt, die sich alle einen Pool von Taktiken und Werkzeugen teilen, aus dem sie auswählen können“, so die Forscher.