O grupo estatal iraniano MuddyWater foi identificado como responsável por uma nova campanha que utilizou uma conta de e-mail comprometida para distribuir uma backdoor chamada Phoenix a diversas organizações da região do Oriente Médio e Norte da África (MENA), incluindo mais de 100 entidades governamentais.
Segundo a empresa singapurense de cibersegurança Group-IB, o objetivo da campanha é infiltrar alvos de alto valor e facilitar a coleta de informações.
Mais de 75% dos alvos são embaixadas, missões diplomáticas, ministérios das Relações Exteriores e consulados, seguidos por organizações internacionais e empresas de telecomunicações.
Os pesquisadores Mahmoud Zohdy e Mansour Alhmoud explicam que “o MuddyWater acessou a conta de e-mail comprometida por meio do NordVPN — um serviço legítimo abusado pelo ator de ameaça — e enviou e-mails de phishing que pareciam correspondências autênticas.
Ao explorar a confiança e autoridade associadas a essas comunicações, a campanha aumentou significativamente suas chances de enganar os destinatários para que abrissem os anexos maliciosos.”
O ataque envolve o envio de documentos Microsoft Word com macros incorporadas.
Ao abrir o arquivo, o usuário é instruído a habilitar as macros para visualizar o conteúdo.
Quando essa função é ativada, um código malicioso em Visual Basic for Applications (VBA) é executado, resultando na instalação da backdoor Phoenix versão 4.
A backdoor é iniciada por meio de um loader chamado FakeUpdate, que é decodificado e salvo no disco pelo dropper em VBA.
Esse loader contém o payload da Phoenix criptografado pelo padrão Advanced Encryption Standard (AES).
O MuddyWater, também conhecido por diversos outros nomes como Boggy Serpens, Cobalt Ulster e Earth Vetala, é apontado como afiliado ao Ministério de Inteligência e Segurança do Irã (MOIS) e está ativo desde pelo menos 2017.
O uso da Phoenix pelo grupo foi documentado pela primeira vez pela Group-IB no mês passado, sendo descrita como uma versão mais leve do BugSleep, um implante em Python associado ao MuddyWater.
Foram identificadas duas variantes da Phoenix em operação: as versões 3 e 4.
Além disso, a empresa de segurança indicou que o servidor de command-and-control (C2) do invasor, no IP 159.198.36[.]115, hospeda ferramentas de Remote Monitoring and Management (RMM) e um roubador de credenciais customizado para os navegadores Brave, Google Chrome, Microsoft Edge e Opera — sinais claros do uso desses recursos na campanha.
Vale lembrar que o MuddyWater tem histórico de distribuir softwares de acesso remoto por meio de campanhas de phishing.
“Ao implantar variantes atualizadas de malware, como a backdoor Phoenix v4, o injetor FakeUpdate e ferramentas customizadas para roubo de credenciais, além de utilitários comerciais legítimos de RMM como PDQ e Action1, o MuddyWater demonstrou capacidade avançada de integrar código próprio a ferramentas comerciais para aprimorar seu sigilo e persistência”, destacam os pesquisadores.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...