Den iranske hackergruppe MuddyWater har angrebet mere end 100 statslige institutioner gennem sin Phoenix-bagdørkampagne. Angrebet afslører en fornyet cyberoffensiv fra den statsstøttede aktør. Gruppen, der også er kendt som Static Kitten, Mercury og Seedworm, fortsætter med at målrette højtprofilerede organisationer i Mellemøsten og Nordafrika.
Fornyede angreb i regionen
Den 19. august lancerede MuddyWater en avanceret phishingkampagne via en kompromitteret e-mailkonto, som gruppen havde fået adgang til gennem NordVPN-tjenesten. Kampagnen sendte ondsindede dokumenter til ambassader, konsulater og udenrigsministerier, forklædt som legitim korrespondance.
Den 24. august lukkede hackerne serveren og dens Command-and-Control (C2)-komponent, hvilket sandsynligvis markerede starten på en ny angrebsfase. Efterfølgende mener forskere, at gruppen brugte flere værktøjer til at indsamle efterretninger fra allerede inficerede systemer.
Gamle teknikker, nye mål
Forskerne opdagede, at angriberne brugte skadelige Word-dokumenter med indlejret makrokode – en ældre, men stadig effektiv metode. Når modtageren klikkede på “Aktivér indhold”, kørte makroen og installerede FakeUpdate-lasteren.
Lasteren dekrypterede og installerede herefter Phoenix-bagdøren, som forankrede sig dybt i det inficerede system. Den skadelige fil blev gemt som C:\ProgramData\sysprocupdate.exe og opnåede vedvarende adgang ved at ændre Windows-registreringsdatabasen, så den automatisk startede ved hver genstart.
Phoenix v4 – smartere og mere skjult
Den opdaterede version, Phoenix v4, introducerer nye metoder til vedvarende adgang og forbedret datainhentning. Den indsamler systeminformation såsom computernavn, Windows-version og brugeroplysninger for at profilere ofrene.
Malwaren kommunikerer med sin C2-server via WinHTTP og understøtter kommandoer som filoverførsel, shell-aktivering og justering af søvnintervaller. Disse funktioner giver hackerne præcis kontrol over inficerede enheder, samtidig med at de undgår at blive opdaget.
Yderligere værktøjer i kampagnen
Ud over Phoenix brugte MuddyWater et skræddersyet infostealer-værktøj, der målrettede browserdatabaser fra Chrome, Edge, Brave og Opera. Værktøjet hentede gemte legitimationsoplysninger og dekrypteringsnøgler.
Forskerne fandt også legitime fjernadministrationsværktøjer som PDQ og Action1 RMM på angribernes infrastruktur. Disse programmer misbruges ofte i iransk-støttede kampagner til omfattende systemstyring og softwareinstallation.
Konklusion
Den iranske Phoenix-bagdørkampagne viser, hvordan MuddyWater fortsætter med at udvikle sine spionageværktøjer. Ved at genbruge ældre teknikker som skadelige makroer og kombinere dem med moderne bagdørsteknologi udgør gruppen fortsat en alvorlig trussel mod statslige netværk i Mellemøsten og andre regioner.
0 svar til “Iranske hackere udnytter Phoenix-bakdøren mod 100 statslige myndigheder”