Die iranische Hackergruppe MuddyWater hat mit ihrer Phoenix-Backdoor-Kampagne mehr als 100 Regierungsinstitutionen angegriffen. Die Vorfälle zeigen eine erneute Cyberoffensive der staatlich unterstützten Gruppe. Das Kollektiv, auch bekannt als Static Kitten, Mercury und Seedworm, konzentriert sich weiterhin auf hochrangige Ziele im Nahen Osten und in Nordafrika.
Erneute Angriffe in der Region
Am 19. August startete MuddyWater eine ausgeklügelte Phishing-Kampagne über ein kompromittiertes E-Mail-Konto, auf das sie über den VPN-Dienst NordVPN zugegriffen hatten. Die Angreifer verschickten manipulierte Dokumente an Botschaften, Konsulate und Außenministerien, getarnt als legitime Korrespondenz.
Am 24. August schalteten die Hacker den Server und die zugehörige Command-and-Control (C2)-Komponente ab, was vermutlich den Beginn einer neuen Angriffsphase kennzeichnete. Ermittler gehen davon aus, dass die Gruppe weitere Tools einsetzte, um Informationen von bereits kompromittierten Systemen zu sammeln.
Alte Techniken, neue Ziele
Forscher stellten fest, dass die Angreifer auf bösartige Word-Dokumente mit eingebetteten Makros setzten – eine alte, aber weiterhin wirksame Methode. Sobald Empfänger auf „Inhalt aktivieren“ klickten, führte das Makro den FakeUpdate-Loader aus.
Dieser Loader entschlüsselte und installierte anschließend die Phoenix-Backdoor, die sich tief im System verankerte. Die Schadsoftware wurde unter C:\ProgramData\sysprocupdate.exe gespeichert und änderte Einträge in der Windows-Registrierung, um bei jedem Neustart automatisch ausgeführt zu werden.
Phoenix v4 – intelligenter und unauffälliger
Die neue Version Phoenix v4 bringt zusätzliche Persistenzmechanismen und verbesserte Datenerfassungsfunktionen. Sie sammelt Systeminformationen wie Rechnername, Windows-Version und Benutzeranmeldeinformationen, um die Opfer zu profilieren.
Die Malware kommuniziert über WinHTTP mit ihrem C2-Server und unterstützt verschiedene Befehle wie Datei-Uploads, Datei-Downloads, Shell-Start und Anpassung von Ruheintervallen. Diese Fähigkeiten ermöglichen den Hackern eine präzise Kontrolle über infizierte Geräte, während sie gleichzeitig die Erkennung vermeiden.
Weitere Tools in der Kampagne
Neben Phoenix setzte MuddyWater auch einen maßgeschneiderten Infostealer ein, der Browserdatenbanken von Chrome, Edge, Brave und Opera angriff. Das Tool extrahierte gespeicherte Anmeldeinformationen und Entschlüsselungsschlüssel.
Forscher entdeckten außerdem legitime Fernwartungstools wie PDQ und Action1 RMM in der Infrastruktur der Angreifer. Solche Programme werden in iranisch unterstützten Operationen häufig missbraucht, um Systeme im großen Maßstab zu steuern und Software bereitzustellen.
Fazit
Die Phoenix-Backdoor-Kampagne der iranischen Hacker zeigt, wie MuddyWater seine Spionage-Taktiken ständig weiterentwickelt. Durch die Kombination älterer Methoden wie bösartiger Makros mit moderner Backdoor-Technologie bleibt die Gruppe eine ernste Bedrohung für Regierungsnetzwerke im Nahen Osten und darüber hinaus.
0 Antworten zu „Iranische Hacker setzen die Phoenix-Backdoor gegen 100 Regierungsbehörden ein“