Nhóm quốc gia-tài trợ của Iran, được biết đến với tên MuddyWater, được cho là đã thực hiện một chiến dịch mới. Nhóm này đã sử dụng một tài khoản email bị xâm nhập để phát tán một backdoor có tên Phoenix tới nhiều tổ chức tại khu vực Trung Đông và Bắc Phi (MENA), bao gồm hơn 100 thực thể chính phủ.
Công ty an ninh mạng Group-IB của Singapore cho biết trong một báo cáo kỹ thuật được công bố hôm nay rằng mục tiêu cuối cùng của chiến dịch là xâm nhập các mục tiêu có giá trị cao và hỗ trợ thu thập thông tin tình báo.
Hơn ba phần tư các mục tiêu của chiến dịch bao gồm các đại sứ quán, phái đoàn ngoại giao, bộ ngoại giao và lãnh sự quán, tiếp theo là các tổ chức quốc tế và các công ty viễn thông.
"MuddyWater đã truy cập hộp thư bị xâm nhập thông qua NordVPN (một dịch vụ hợp pháp bị các tác nhân đe dọa lạm dụng), và sử dụng nó để gửi các email phishing có vẻ là thư tín xác thực," các nhà nghiên cứu an ninh Mahmoud Zohdy và Mansour Alhmoud cho biết.
"Bằng cách lợi dụng sự tin tưởng và quyền hạn liên quan đến các thông tin liên lạc đó, chiến dịch đã tăng đáng kể cơ hội lừa dối người nhận mở các tệp đính kèm độc hại."
Chuỗi tấn công về cơ bản liên quan đến việc tác nhân đe dọa phân phối các tài liệu Microsoft Word chứa mã độc, mà khi mở ra, sẽ yêu cầu người nhận email bật các macro để xem nội dung. Một khi người dùng không nghi ngờ bật tính năng này, tài liệu sẽ tiến hành thực thi mã Visual Basic for Application (VBA) độc hại, dẫn đến việc triển khai phiên bản 4 của backdoor Phoenix.
Backdoor được khởi chạy thông qua một trình tải có tên FakeUpdate được giải mã và ghi vào đĩa bởi VBA dropper. Trình tải này chứa payload Phoenix được mã hóa Advanced Encryption Standard (AES).
MuddyWater, còn được gọi là Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm (trước đây là Mercury), Seedworm, Static Kitten, TA450, TEMP.Zagros và Yellow Nix, được đánh giá là có liên kết với Bộ Tình báo và An ninh Iran (MOIS). Nhóm này được biết đến là hoạt động từ ít nhất năm 2017.
Việc tác nhân đe dọa sử dụng Phoenix lần đầu tiên được Group-IB ghi nhận vào tháng trước, mô tả nó là một phiên bản nhẹ của BugSleep, một implant dựa trên Python có liên kết với MuddyWater. Hai biến thể khác nhau của Phoenix (Phiên bản 3 và Phiên bản 4) đã được phát hiện trong tự nhiên.
Nhà cung cấp an ninh mạng cho biết máy chủ command-and-control (C2) của kẻ tấn công ("159.198.36[.]115") cũng được tìm thấy đang lưu trữ các tiện ích remote monitoring and management (RMM) và một công cụ đánh cắp thông tin đăng nhập trình duyệt web tùy chỉnh nhắm mục tiêu Brave, Google Chrome, Microsoft Edge và Opera, cho thấy khả năng sử dụng của chúng trong hoạt động này. Đáng chú ý là MuddyWater có lịch sử phân phối phần mềm truy cập từ xa thông qua các chiến dịch phishing trong nhiều năm qua.
"Bằng cách triển khai các biến thể phần mềm độc hại được cập nhật như backdoor Phoenix v4, injector FakeUpdate và các công cụ đánh cắp thông tin đăng nhập tùy chỉnh cùng với các tiện ích RMM hợp pháp như PDQ và Action1, MuddyWater đã thể hiện khả năng nâng cao để tích hợp mã tùy chỉnh với các công cụ thương mại nhằm cải thiện khả năng ẩn nấp và duy trì quyền truy cập," các nhà nghiên cứu cho biết.
