O grupo de hackers iraniano patrocinado pelo Estado, conhecido como MuddyWater — também chamado de Static Kitten, Mercury e Seedworm — tem como alvo mais de 100 entidades governamentais em ataques que empregaram a versão 4 do backdoor Phoenix.
Essa ameaça geralmente mira organizações governamentais e privadas no Oriente Médio.
A partir de 19 de agosto, os hackers iniciaram uma campanha de phishing utilizando uma conta comprometida, acessada via o serviço NordVPN.
Segundo relatório divulgado hoje pela empresa de cibersegurança Group-IB, os ataques foram direcionados a diversos órgãos governamentais e organizações internacionais no Oriente Médio e Norte da África.
Os pesquisadores observaram que, em 24 de agosto, o grupo desativou o servidor e o componente command-and-control (C2) do lado servidor.
Isso possivelmente indica uma nova fase da campanha, empregando outras ferramentas e malwares para coletar informações em sistemas comprometidos.
A maioria das vítimas são embaixadas, missões diplomáticas, ministérios das Relações Exteriores e consulados.
A análise da Group-IB revelou que o MuddyWater enviou e-mails com documentos Word maliciosos contendo macros que decodificam e gravam no disco o loader do malware FakeUpdate.
Os e-mails trazem anexos em Word que solicitam aos destinatários que “habilitem o conteúdo” no Microsoft Office.
Ao acionar essa opção, uma macro VBA é executada, que instala o loader FakeUpdate no sistema.
Não está claro por que o grupo retomou o uso de malwares distribuídos via macros em documentos Office, uma técnica mais comum anos atrás, quando as macros eram ativadas automaticamente ao abrir o arquivo.
Desde que a Microsoft passou a bloquear macros por padrão, os atacantes migraram para outros métodos, como o ClickFix — também utilizado pelo MuddyWater em campanhas anteriores.
De acordo com os pesquisadores da Group-IB, o loader usado nos ataques recentes descriptografa o backdoor Phoenix, cujo payload está incorporado e protegido por criptografia AES.
O malware é instalado em ‘C:\ProgramData\sysprocupdate.exe’ e garante persistência ao alterar entradas do registro do Windows relacionadas ao usuário atual, inclusive definindo qual aplicativo será executado como shell após o login.
O backdoor Phoenix já foi identificado em ataques anteriores do MuddyWater.
A versão 4, usada nesta campanha, inclui um mecanismo adicional de persistência baseado em COM e apresenta diferenças funcionais em relação às versões anteriores.
Esse malware coleta informações do sistema — como nome do computador, domínio, versão do Windows e nome do usuário — para identificar o alvo.
Ele se conecta ao seu servidor C2 via WinHTTP, enviando sinalizações periódicas (beacons) e aguardando comandos.
A Group-IB confirmou que o Phoenix v4 suporta os seguintes comandos:
- 65 — Sleep (pausa)
- 68 — Upload de arquivo
- 85 — Download de arquivo
- 67 — Iniciar shell
- 83 — Atualizar intervalo de sleep
Além do Phoenix, o MuddyWater utilizou um infostealer personalizado, projetado para exfiltrar bancos de dados dos navegadores Chrome, Opera, Brave e Edge, além de extrair credenciais e a chave mestra para descriptografia.
Na infraestrutura C2 do grupo, os pesquisadores também identificaram a ferramenta PDQ, usada para implantação e gerenciamento de software, e o Action1 RMM, uma solução de monitoramento remoto.
A PDQ já foi associada a ataques de hackers iranianos anteriormente.
A atribuição dos ataques ao MuddyWater foi feita pela Group-IB com alto grau de confiança, com base no uso de famílias de malware e macros vistos em campanhas anteriores, nas técnicas semelhantes de decodificação de strings presentes nos novos malwares e nos padrões específicos dos alvos escolhidos pelo grupo.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...