O grupo de espionagem cibernética MuddyWater, ligado ao governo iraniano, foi associado a uma nova campanha que utilizou uma conta de e-mail comprometida para distribuir o backdoor Phoenix a organizações no Oriente Médio e Norte da África. Entre os alvos estão mais de 100 entidades governamentais, segundo relatório técnico divulgado hoje pela empresa de segurança de Cingapura Group-IB.
De acordo com o levantamento, o objetivo é infiltrar-se em alvos de alto valor e coletar informações. Mais de três quartos das vítimas identificadas são embaixadas, missões diplomáticas, ministérios de Relações Exteriores e consulados. O restante inclui organismos internacionais e operadoras de telecomunicações.
Os pesquisadores Mahmoud Zohdy e Mansour Alhmoud explicam que os invasores acessaram a caixa de e-mail comprometida por meio do serviço legítimo NordVPN e, a partir dela, enviaram mensagens de phishing com aparência verídica. A estratégia ampliou as chances de os destinatários abrirem os anexos maliciosos.
O ataque começa com documentos do Microsoft Word armados. Ao ser aberto, o arquivo solicita a habilitação de macros para exibir o conteúdo. Se o usuário concede permissão, o código VBA embutido é executado e instala a versão 4 do backdoor Phoenix.
O Phoenix é carregado por um componente chamado FakeUpdate, que é decodificado e gravado em disco pelo dropper VBA. Esse carregador contém o payload do Phoenix criptografado com AES.
Ativo pelo menos desde 2017, o MuddyWater — também conhecido como Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm (ex-Mercury), Seedworm, Static Kitten, TA450, TEMP.Zagros e Yellow Nix — é apontado como afiliado ao Ministério da Inteligência e Segurança do Irã (MOIS).
Imagem: Internet
A Group-IB já havia detalhado o uso do Phoenix no mês passado, descrevendo-o como uma versão enxuta do implante BugSleep, escrito em Python. Duas variantes, as versões 3 e 4, circulam atualmente.
O servidor de comando e controle identificado (159.198.36[.]115) também hospeda ferramentas de gerenciamento remoto (RMM) e um ladrão de credenciais desenvolvido para os navegadores Brave, Google Chrome, Microsoft Edge e Opera, indício de que esses recursos são empregados na operação.
Segundo os analistas, ao combinar o Phoenix v4, o injetor FakeUpdate, ferramentas de roubo de credenciais personalizadas e utilitários RMM legítimos como PDQ e Action1, o MuddyWater amplia sua capacidade de se manter discreto e persistente dentro dos sistemas invadidos.
Com informações de The Hacker News