Группа MuddyWater активизировалась в регионе Ближнего Востока и Северной Африки с новыми вредоносными инструментами
Группа MuddyWater активизировалась в регионе Ближнего Востока и Северной Африки с новыми вредоносными инструментами
Иранская хакерская группа MuddyWater, известная также под именами Earth Vetala, Mango Sandstorm и MUDDYCOAST, согласно отчету Secureworks от 15 марта 2024 года, начала новую кампанию, направленную на организации и отдельных лиц в странах Ближнего Востока и Северной Африки (MENA). Активность была зафиксирована в начале 2024 года и сопровождается использованием новых вредоносных программ, которые, по данным Secureworks, позволяют злоумышленникам осуществлять сбор информации и управление заражёнными системами. Подробнее с отчетом можно ознакомиться по ссылке: https://www.secureworks.com/research/muddywater-2024-campaign
Новые инструменты атаки: GhostFetch, CHAR и HTTP_VIP
В рамках кампании MuddyWater применяет несколько новых вредоносных программ, которые в отчете Secureworks обозначены условными названиями GhostFetch, CHAR и HTTP_VIP. Эти инструменты включают в себя загрузчики и бекдоры с возможностью связи с командными серверами (C2) по протоколам HTTP(S) и поддерживают функции эксфильтрации данных.
- GhostFetch — загрузчик (loader), обеспечивающий доставку и запуск дополнительных компонентов.
- CHAR — бекдор с функциями удалённого управления и поддержки различных команд.
- HTTP_VIP — модуль, обеспечивающий коммуникацию с C2-серверами через HTTP(S) для передачи данных и управления.
Такой набор вредоносных программ указывает на высокую степень подготовки и целенаправленность атак, направленных на получение конфиденциальной информации и контроль над системами жертв.
Почему это важно для организаций, управляющих внешней поверхностью атаки
Организации, особенно те, которые работают в регионе MENA, сталкиваются с растущей угрозой со стороны сложных и адаптивных кибератак. MuddyWater демонстрирует способность быстро внедрять новые инструменты и методы, что усложняет задачу обнаружения и предотвращения атак.
Для команд по безопасности это означает необходимость постоянного мониторинга внешней поверхности атаки — всех публично доступных ресурсов и сервисов, которые могут стать точками входа для злоумышленников. Вредоносные кампании, подобные описанным в отчёте Secureworks, подчеркивают важность своевременного выявления подозрительной активности и анализа новых вредоносных образцов.
Практические рекомендации для команд по кибербезопасности
- Регулярно обновляйте и анализируйте данные о внешней поверхности атаки. Используйте инструменты EASM (External Attack Surface Management) для выявления новых и уязвимых ресурсов, которые могут стать мишенью.
- Следите за индикаторами компрометации (IoC). Внедряйте системы обнаружения, способные выявлять активность, связанную с GhostFetch, CHAR и HTTP_VIP, а также другие известные вредоносные инструменты.
- Обеспечьте сегментацию сети и контроль доступа. Ограничьте возможности злоумышленников по перемещению внутри инфраструктуры, минимизируя потенциальный ущерб.
- Проводите обучение сотрудников. Повышайте осведомленность о фишинговых атаках и других методах социальной инженерии, которые часто используются для первоначального проникновения.
- Интегрируйте разведку угроз. Используйте актуальные данные о киберугрозах для адаптации защитных мер и оперативного реагирования на новые кампании.
Активность MuddyWater в регионе MENA демонстрирует, что современные киберугрозы требуют комплексного и проактивного подхода к управлению внешней поверхностью атаки. Только систематический мониторинг и своевременное реагирование помогут организациям снизить риски и защитить критически важные активы.
