Эксперты «Лаборатории Касперского», которые следят за активностью хакерской группировки MuddyWater, впервые заявившей о себе в Ираке и Саудовской Аравии в 2017 году, выявили новую серию атак, нацеленных на правительственные учреждения и многие другие организации в Иордании, Турции, Азербайджане, Пакистане и Афганистане. Вредоносное ПО распространяется посредством персонализированного фишинга: злоумышленники присылают пользователям документ Office и предлагают им активировать встроенные макросы. Атаки продолжаются.
MuddyWater — относительно новая хакерская группировка, которая появилась в 2017 году с вредоносной кампанией, ориентированной на правительственные цели в Ираке и Саудовской Аравии. Ранее в этом году эксперты «Лаборатории Касперского» обнаружили непрерывный поток фишинговых писем, направленный на гораздо более широкий круг стран. Пик новой вредоносной кампании пришёлся на май и июнь 2018 года, при этом атаки продолжаются и сейчас.
По данным экспертов «Лаборатории Касперского», содержание фишинговых писем позволяет предполагать, что основные цели злоумышленников — это государственные и военные структуры, а также телекоммуникационные компании и учебные заведения. Электронные письма содержат во вложении файл MS Office 97-2003, и инфекция активируется, как только пользователь включает макросы.
Специалисты «Лаборатории Касперского» проанализировали первые этапы новой вредоносной кампании и опубликовали результаты проведённого исследования, чтобы помочь компаниям в затронутых атаками регионах защититься от киберугроз. Продолжается изучение арсенала злоумышленников: скриптов и инструментов PowerShell, VBS, VBA, Python и C#, троянов удалённого доступа (RATs — Remote Access Trojans).
Как только инфекция активируется, вредоносное ПО устанавливает контакт со своим командным сервером, выбирая случайный URL из встроенного списка. После сканирования на наличие решений для кибербезопасности зловред загружает ряд сценариев на компьютер-жертву, затем запускает основные функциональные возможности бэкдора. Использование легитимных MS-файлов позволяет вредоносному ПО не попадать в чёрные списки. Более того, код PowerShell отключает функции Macro Warnings и Protected View для того, чтобы будущие атаки не требовали никакого взаимодействия с пользователем. Инфраструктура вредоносного ПО включает ряд скомпрометированных хостов.
Цели атак были обнаружены в Турции, Иордании, Азербайджане, Ираке и Саудовской Аравии, а также в Мали, Австрии, России, Иране и Бахрейне.
Пока точно неизвестно, кто стоит за вредоносной кампанией MuddyWater, однако понятно, что атакующие явно имеют геополитические мотивы. Код, используемый в недавних атаках, содержит ряд элементов, которые, как полагается, призваны отвлекать внимание следователей и вводить их в заблуждение. Имеется в виду использование китайского языка в коде и таких имён, как Leo, PooPak, Vendetta и Turk, во вредоносном ПО.
«В течение последнего года мы наблюдали, как группировка MuddyWater осуществляла большое количество атак, а также постоянно развивала свои методы и приёмы. За очередной вредоносной кампанией стоят активные разработчики, которые улучшают свой инструментарий, чтобы свести к минимуму вмешательство продуктов для кибербезопасности в процесс. Это говорит о том, что в краткосрочной перспективе подобные атаки повторятся. Именно поэтому мы решили публично поделиться нашими первыми выводами — повысить осведомлённость компаний об угрозах, чтобы они могли принять необходимые для защиты меры. Мы анализируем арсенал злоумышленников, в дальнейшем будем внимательно следить за его развитием, а также стратегиями и ошибками атакующих», — рассказал Амин Хасбини, старший антивирусный эксперт глобального центра исследований и анализа угроз «Лаборатории Касперского» (GReAT).
Чтобы защититься от атак таких группировок, как MuddyWater, «Лаборатория Касперского» рекомендует компаниям принимать следующие меры:
- применяйте комплексный подход к обнаружению, предотвращению и расследованию таргетированных атак — используйте передовые решения для обеспечения кибербезопасности и проводите обучение сотрудников;
- предоставьте сотрудникам службы безопасности доступ к последним исследованиям угроз: эти данные позволят им использовать эффективные инструменты для обнаружения и предотвращения атак, такие как индикаторы компромисса и правила YARA;
- убедитесь, что процессы управления исправлениями хорошо отлажены на корпоративном уровне;
- дважды проверьте все конфигурации системы и внедрите рекомендации;
- обучайте сотрудников тому, как нужно выявлять подозрительные электронные письма и на них реагировать.
Более подробная информация о вредоносной кампании MuddyWater доступна на Securelist.