איראן לא נחה: קבוצת מים עכורים פצחה במסע תקיפה חדש

האיראנים לא נחים: חוקרים מ-Group-IB חשפו באחרונה קמפיין פישינג חדש של קבוצת מים עכורים (MuddyWater). הקמפיין מנצל חשבונות מייל שנפגעו להפצת נוזקות.

החוקרים קושרים את הקמפיין לקבוצת מים עכורים "בביטחון רב", ומצאו שחברי הקבוצה התמקדו בארגונים בינלאומיים באזורים רבים, לטובת איסוף מודיעין.

ההאקרים השתמשו בכתובת מייל שנפגעה, שאליה הם הצליחו להשיג גישה דרך NordVPN – שירות לגיטימי שהם עשו בו שימוש לרעה כדי להסוות את זהותם. לאחר מכן, ההאקרים שלחו מיילים של פישינג, שמחקים התכתבויות אותנטיות – להגדלת האמון של הקורבנות ולהעלאת הסבירות שהם יפתחו קבצים מצורפים, שהם נגועים.

הקבצים המצורפים, מסמכי וורד זדוניים, קראו לנמענים להפעיל פקודות מקרו. לאחר ההפעלה, פקודות המקרו פיתחו קוד Visual Basic, שהזריק גרסה 4 של דלת אחורית בשם פניקס (Phoenix), וזו העניקה לתוקפים שליטה מרחוק על המערכות הנגועות.

"האירוע ממחיש כיצד שחקני איום, הפועלים בגיבוי מדינה, ממשיכים לנצל ערוצי תקשורת מהימנים כדי להתחמק מהגנות ולחדור למטרות בעלות ערך גבוה", ציינו חוקרי Group-IB.

הם הוסיפו כי בגרסה 4 של הדלת האחורית יש מנגנון התמדה מעודכן, המאפשר להאקרים לשמור על שליטה – גם לאחר אתחול מחדש של המערכות. הנוזקה אוספת את פרטי המערכת, משנה את מפתחות הרישום ומתחברת לשרת פיקוד ובקרה (C2), לקבלת הוראות. החוקרים מצאו גם שלושה כלי ניטור וניהול מרחוק, לצד גנב אישורי דפדפן מותאם אישית, המכונה Chromium_Stealer. כלי זה מתחזה לאפליקציית מחשבון, ואז אוסף נתוני התחברות מדפדפנים, כולל כרום, אופרה, Edge ו-Brave.

מדוע החוקרים שייכו את המתקפה לקבוצה האיראנית?

Group-IB זיהתה את מבצעי המסע הזה כחברי קבוצת ההאקרים מים עכורים "בהתבסס על קוד חופף, תשתית דומיין ודגימות נוזקות שהיו קשורות בעבר לקבוצה". לפי החוקרים, "זהויות של המטרות, במיוחד אלה הקשורים למוסדות הומניטריים וממשלתיים, משקפות את המטרות הגיאו-פוליטיות של שחקן האיום".

"בהתחשב בהתמקדות המתמשכת של מים עכורים ביעדים ממשלתיים, במיוחד ברקע המתיחות הגיאו-פוליטית המתמשכת באזור, אנחנו מעריכים ומצפים שקמפיינים דומים ימשיכו לצוץ, תוך מינוף חשבונות שנפגעו באחרונה ומטענים זדוניים מתפתחים. ארגונים, במיוחד אלה שפועלים במגזרי הממשלה והתשתיות הקריטיות, צריכים לחזק את ההגנה שלהם מפני מים עכורים ושחקני איום דומים, המזוהים עם איראן", סיכמו החוקרים.