Смещение акцента на использование легитимного софта делает группировку ещё скрытнее и опаснее.
https://www.securitylab.ru/upload/ib...79urebhhng.jpg
В сети появилась информация о новом инструменте кибератак, разработанном иранской хакерской группировкой MuddyWater, также известной как Boggy Serpens, Mango Sandstorm и TA450. Cвязанная с Министерством разведки и безопасности Ирана киберпреступная группировка недавно внедрила в свои операции новую инфраструктуру управления «DarkBeatC2», которая стала последним дополнением арсенала хакеров после таких инструментов, как SimpleHarm и MuddyC2Go.
По данным Саймона Кенина, исследователя из Deep Instinct, несмотря на периодическую смену инструментов удалённого администрирования и фреймворков управления, методы MuddyWater остаются неизменными.
С 2017 года группа активно использует специально разработанные фишинговые атаки для развёртывания на скомпрометированных системах различных решений для удалённого мониторинга и управления. Операции группы не раз приводили к серьёзным последствиям, включая разрушительные атаки на израильские объекты, осуществляемые с помощью других связанных с Ираном киберпреступных групп.
Одной из последних злонамеренных кампаний, зафиксированных исследователями, является фишинговая рассылка электронных писем с вредоносными URL. По данным исследователей, в этой атаке хакеры использовали скомпрометированный аккаунт, связанный с израильским учебным заведением, что создало иллюзию легитимности и доверительного отношения к отправителю.
Помимо использования нового домена DarkBeatC2, группа начала применять сложные методы для управления заражёнными системами, включая PowerShell-скрипты и механизмы загрузки вредоносных библиотек через системный реестр.
Исследователи из Palo Alto Networks отметили, что для установления постоянства в системе MuddyWater использует задачи в планировщике Windows, а при помощи метода DLL Sideloading происходит непосредственный запуск вредоноса с последующим соединением с доменом DarkBeatC2.
Также в конце прошлого месяца стало известно, что MuddyWater активно использует на скомпрометированных хостах легитимное ПО вместо вредоносного, чтобы как можно дольше избежать обнаружения после проникновения в целевую сеть.
Несмотря на постоянные изменения в тактике и инструментах, киберпреступные группировки, такие как MuddyWater, продолжают активно угрожать безопасности сотен организаций. Осведомлённость и бдительность сотрудников, а также непрерывное совершенствование методов защиты, могут стать эффективным барьером на пути киберпреступников.
Code:
<pre class="alt2" dir="ltr" style="
margin: 0px;
padding: 6px;
border: 1px solid rgb(0, 0, 0);
width: 640px;
height: 34px;
text-align: left;
overflow: auto;
background: rgb(37, 37, 37) none repeat scroll 0% 0%;
border-radius: 5px;
font-size: 11px;
text-shadow: none;">https://www.deepinstinct.com/blog/darkbeatc2-the-latest-muddywater-attack-framework</pre>