Операцию, проведённую иранской государственной хакерской группой MuddyWater, связывают с новой крупной кампанией, направленной на компрометацию более сотни компаний и ведомств региона Ближнего Востока и Северной Африки (MENA). Для достижения своей цели злоумышленники использовали взломанные почтовые аккаунты, отправляя жертвам замаскированные фишинговые письма с целью внедрения вредоносного программного обеспечения.
Детали кибероперации
Согласно новому отчету международной компании по кибербезопасности Group-IB, основной целью группы является получение несанкционированного доступа к секретной информации в важнейших организациях региона. Основной метод атаки заключается в рассылке поддельных электронных сообщений с использованием ранее взломанных учетных записей.
Группа получила контроль над взломанными электронными почтовыми ящиками, воспользовавшись услугами VPN-провайдера NordVPN, и использовала их для рассылки целевых фишинговых писем, выглядящих как реальные сообщения официальных лиц. Этот подход позволил увеличить вероятность успешного заражения жертвы.
Основная схема атаки выглядит следующим образом:
- Жертва получает письмо с вложением документа Microsoft Word, содержащего скрытый вредоносный код.
- Пользователь открывает файл и активирует встроенные макросы, якобы необходимые для отображения содержания документа.
- После активации макросов автоматически выполняется вредоносный скрипт на языке программирования Visual Basic for Applications (VBA), загружающий и устанавливающий бэкдор Phoenix версии 4.
Сам бэкдор устанавливается через загрузчик FakeUpdate, который скрывает шифрование полезных нагрузок вредоносного ПО, используя алгоритм AES.
По данным исследователей, почти три четверти всех атакованных объектов составляют государственные учреждения, посольства, дипломаты, ведомства МИД и представительства международных организаций. Остальные объекты включали частные предприятия и телеком-компании.
Технические подробности
Кроме того, эксперты обнаружили дополнительные инструменты, используемые злоумышленниками:
- Утилиты удаленного администрирования (Remote Monitoring & Management, RMM);
- Специальные программы для извлечения паролей браузеров (Brave, Google Chrome, Microsoft Edge, Opera).
Эти находки свидетельствуют о намерениях злоумышленников глубже закрепляться внутри инфраструктуры атакованных организаций.
Злоумышленники активно применяют методы социальной инженерии, маскируя своё присутствие под официальными источниками. Специалисты подчеркнули важность своевременного обновления антивирусных баз и регулярного обучения сотрудников правилам информационной гигиены.
Group-IB подчёркивает, что данная операция демонстрирует высокий уровень технического оснащения группировки MuddyWater, известной своим активным участием в кибероперациях начиная с 2017 года.
Исследователи отметили, что недавняя активность группы показывает её способность адаптироваться и внедрять новые техники обхода защиты, что повышает риски для потенциальных жертв.
Эта атака служит очередным предупреждением организациям всего мира о важности комплексного подхода к защите конфиденциальной информации и усиления мер кибербезопасности.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Хакеры, предположительно действующие из Северной Кореи, проводят новую серию нападений на европейский оборонпром посредством фейковых предложений вакансий в рамках продолжительной операции под названием «Идеальная работа».
Передовые технологии получили практическое применение в российско-китайском университете МГУ-ППИ, расположенном в Шэньчжэне. Здесь начал работу уникальный учебный суперкомпьютер, предназначенный для углубленных исследований в сфере материаловедения и инновационных методов геологоразведки. Об этом сообщил декан факультета вычислительной математики и кибернетики Борис Будак в рамках Недели открытой науки БРИКС+.
Подразделения китайского кибершпионажа успешно эксплуатировали уязвимость безопасности ToolShell в продуктах Microsoft SharePoint, напав на телеком-компании на Ближнем Востоке вскоре после публикации подробностей об ошибке и её устранения в июне 2025-го.