Иранские хакеры замаскировали шпионскую операцию под атаку вируса-вымогателя

Специалисты по кибербезопасности предупредили о новой тактике иранской группировки MuddyWater. Злоумышленники использовали платформу Microsoft Teams для кражи конфиденциальных данных, пытаясь сбить следствие с толку с помощью имитации атаки обычного вируса-шифровальщика.

Механика атаки через социальную инженерию

Согласно отчету исследователей из компании Rapid7, злоумышленники связывались с сотрудниками целевых организаций через Microsoft Teams, выдавая себя за специалистов технической поддержки. Используя методы социальной инженерии — психологического манипулирования для получения доступа к информации, — хакеры убеждали жертв установить AnyDesk, программу для удаленного управления компьютером.

После получения удаленного доступа к системе атакующие выполняли ряд действий:

• внедряли различные варианты вредоносного ПО для кражи паролей;
• изменяли настройки многофакторной аутентификации (MFA) для обеспечения постоянного доступа;
• копировали и вывозили за пределы сети конфиденциальную информацию с зараженных узлов.

Использование шифровальщика для прикрытия

На финальном этапе операции хакеры развернули шифровальщик Chaos. Это программное обеспечение работает по модели RaaS (Ransomware-as-a-Service), когда разработчики вредоноса сдают его в аренду другим преступникам. Чтобы создать полную иллюзию финансово мотивированной атаки, данные жертвы были размещены на сайте утечек Chaos, имитируя тактику двойного вымогательства.

Однако эксперты Rapid7 установили, что основной целью был шпионаж. Анализ технических приемов, сертификатов подписи кода и других особенностей работы позволил с уверенностью заявить, что за атакой стоит группировка MuddyWater, также известная под названиями Static Kitten, Mango Sandstorm и Seedworm.

Связь с государственными структурами

В обзоре отмечается, что стратегия хакеров демонстрирует слияние методов государственных киберподразделений и обычного криминалитета. По данным экспертов, MuddyWater финансируется Министерством разведки и безопасности Ирана. Основной задачей группы является кибершпионаж и сбор данных в интересах правительства.

Помимо MuddyWater, в интересах иранских властей действуют и другие хакерские коллективы:

• CyberAv3ngers;
• APT35 (также известная как Charming Kitten);
• APT34 (известная как OilRig или Helix Kitten).

Тот факт, что государственные структуры начали использовать инструменты рядовых киберпреступников, значительно усложняет процесс атрибуции атак и оперативного реагирования на угрозы безопасности.