Den iranska hackergruppen MuddyWater har genom sin Phoenix-bakdörrkampanj attackerat över 100 statliga institutioner, vilket avslöjar en förnyad cyberoffensiv från den statsstödda aktören. Den ökända gruppen, även känd som Static Kitten, Mercury och Seedworm, fortsätter att rikta in sig på högt värderade mål i Mellanöstern och Nordafrika.
Förnyade attacker i regionen
Den 19 augusti inledde MuddyWater en avancerad nätfiskekampanj med hjälp av ett komprometterat e-postkonto som hade åtkommits via VPN-tjänsten NordVPN. Kampanjen skickade skadliga dokument till ambassader, konsulat och utrikesdepartement, maskerade som legitim korrespondens.
Den 24 augusti stängde hackarna ner servern och dess Command-and-Control (C2)-komponent, vilket troligen markerade början på en ny attackfas. Utredare tror att gruppen därefter använde ytterligare verktyg för att samla in underrättelser från redan infekterade system.
Gamla tekniker, nya mål
Forskare upptäckte att angriparna använde skadliga Word-dokument inbäddade med makrokod – en gammal men fortfarande effektiv metod. När mottagaren klickade på “Aktivera innehåll” kördes makrot och installerade FakeUpdate, en skadlig laddare.
Laddaren dekrypterade och installerade sedan Phoenix-bakdörren, som förankrade sig djupt i det infekterade systemet. Skadlig kod sparades som C:\ProgramData\sysprocupdate.exe och fick varaktighet genom att ändra Windows-registerinställningar, vilket garanterade automatisk körning vid varje omstart.
Phoenix v4 – en smartare och mer dold variant
Den uppdaterade versionen Phoenix v4 introducerar nya uthållighetsmekanismer och förbättrade funktioner för datainsamling. Den samlar in systeminformation som datornamn, Windows-version och användaruppgifter för att profilera sina offer.
Malwaren kommunicerar med sin C2-server via WinHTTP och kan utföra flera kommandon, inklusive filöverföring, fjärrskal, och justering av vilointervall. Dessa funktioner ger angriparna exakt kontroll över infekterade enheter samtidigt som upptäckt undviks.
Fler verktyg i kampanjen
Utöver Phoenix använde MuddyWater även en anpassad informationsstjälande modul som riktade in sig på webbläsardatabaser från Chrome, Edge, Brave och Opera. Verktyget extraherade sparade inloggningsuppgifter och dekrypteringsnycklar.
Forskare identifierade dessutom legitima fjärrhanteringsverktyg som PDQ och Action1 RMM på angriparnas servrar. Dessa program missbrukas ofta i iranska statsstödda operationer för omfattande systemkontroll och mjukvaruinstallationer.
Slutsats
Den iranska hackergruppens Phoenix-bakdörrkampanj visar hur MuddyWater fortsätter att utveckla sina spionagefokuserade metoder. Genom att återanvända äldre tekniker som skadliga makron och kombinera dem med modern bakdörrsteknik förblir gruppen ett allvarligt hot mot statliga nätverk i Mellanöstern och bortom.
0 svar till ”Iranska hackare utnyttjar Phoenix-bakdörren mot 100 statliga myndigheter”