De Iraanse natiestatengroep, bekend als Modderig Water wordt toegeschreven aan een nieuwe campagne waarbij gebruik werd gemaakt van een gecompromitteerd e-mailaccount om een achterdeur met de naam Phoenix te distribueren naar verschillende organisaties in het Midden-Oosten en Noord-Afrika (MENA), waaronder meer dan 100 overheidsinstanties.
Het einddoel van de campagne is het infiltreren van waardevolle doelen en het vergemakkelijken van het verzamelen van inlichtingen, aldus het Singaporese cyberbeveiligingsbedrijf Group-IB in een vandaag gepubliceerd technisch rapport.
Meer dan driekwart van de doelstellingen van de campagne omvatten ambassades, diplomatieke missies, ministeries van Buitenlandse Zaken en consulaten, gevolgd door internationale organisaties en telecommunicatiebedrijven.
“MuddyWater heeft toegang gekregen tot de gecompromitteerde mailbox via NordVPN (een legitieme dienst die wordt misbruikt door de bedreigingsacteur) en gebruikt deze om phishing-e-mails te verzenden die authentieke correspondentie leken te zijn”, aldus beveiligingsonderzoekers Mahmoud Zohdy en Mansour Alhmoud.
“Door misbruik te maken van het vertrouwen en de autoriteit die met dergelijke communicatie gepaard gaat, heeft de campagne de kansen aanzienlijk vergroot om ontvangers te misleiden om de kwaadaardige bijlagen te openen.”
De aanvalsketen houdt in wezen in dat de bedreigingsacteur bewapende Microsoft Word-documenten verspreidt die, wanneer ze worden geopend, de e-mailontvangers ertoe aanzetten macro’s in te schakelen om de inhoud te bekijken. Zodra de nietsvermoedende gebruiker de functie inschakelt, gaat het document verder met het uitvoeren van kwaadaardige Visual Basic for Application (VBA)-code, wat resulteert in de implementatie van versie 4 van de Phoenix-achterdeur.
De achterdeur wordt gelanceerd door middel van een lader genaamd FakeUpdate die wordt gedecodeerd en naar schijf geschreven door de VBA-dropper. De lader bevat de met Advanced Encryption Standard (AES) gecodeerde Phoenix-payload.
MuddyWater, ook wel Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm (voorheen Mercury), Seedworm, Static Kitten, TA450, TEMP.Zagros en Yellow Nix genoemd, wordt geacht te zijn aangesloten bij het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS). Het is bekend dat het minstens sinds 2017 actief is.
Het gebruik van Phoenix door de bedreigingsacteur werd vorige maand voor het eerst gedocumenteerd door Group-IB, waarin het werd beschreven als een lichtgewicht versie van BugSleep, een op Python gebaseerd implantaat gekoppeld aan MuddyWater. Er zijn twee verschillende varianten van Phoenix (versie 3 en versie 4) in het wild gedetecteerd.
De cyberbeveiligingsleverancier zei dat de command-and-control (C2)-server (“159.198.36(.)115”) van de aanvaller ook is aangetroffen als host voor hulpprogramma’s voor monitoring en beheer op afstand (RMM) en een aangepaste inloggegevensdiefstaler voor webbrowsers die zich richt op Brave, Google Chrome, Microsoft Edge en Opera, wat suggereert dat ze waarschijnlijk bij de operatie worden gebruikt. Het is vermeldenswaard dat MuddyWater door de jaren heen een geschiedenis heeft van het distribueren van software voor externe toegang via phishing-campagnes.
“Door het inzetten van bijgewerkte malwarevarianten zoals de Phoenix v4 backdoor, de FakeUpdate-injector en aangepaste tools voor het stelen van inloggegevens naast legitieme RMM-hulpprogramma’s zoals PDQ en Action1, demonstreerde MuddyWater een verbeterd vermogen om aangepaste code te integreren met commerciële tools voor verbeterde stealth en persistentie”, aldus de onderzoekers.
