Мобильная версияMuddyWater (хакерская группа) ⇐ Васина Википедия
-
Автор темыwiki_en
- Всего сообщений: 116011
- Зарегистрирован: 16.01.2024
MuddyWater (хакерская группа)
«MuddyWater» — это иранская группа по кибершпионажу и постоянным угрозам (APT), которая считается частью или подчинена Министерству разведки Ирана (Иран)|Министерству разведки и безопасности (MOIS).
Впервые публично объявленный в 2017 году, он нацелен на правительственные учреждения, операторов связи, оборонные организации, университеты, нефтегазовые компании и другие предприятия критически важного сектора на Ближнем Востоке, в Азии, Европе, Африке и Северной Америке.
== Характеристики ==
MuddyWater описывается как шпионская группа, поддерживаемая иранским государством, и отслеживается под многочисленными псевдонимами, в том числе «Seedworm», «Static Kitten», «TEMP.Zagros», «Earth Vetala», «MERCURY», «Mango Sandstorm», «TA450» и '''Богги Змеи'''.
Группа в значительной степени полагалась на целевой фишинг и эксплуатацию общеизвестных уязвимостей на серверах, подключенных к Интернету. Чтобы избежать обнаружения, компания также широко использовала методы заработка на земле, инструменты на основе PowerShell и законное программное обеспечение для удаленного мониторинга и управления, такое как ScreenConnect, SimpleHelp и Atera.
== История ==
=== 2017–2022 гг. ===
Кластер, позже известный как MuddyWater, был публично задокументирован в ноябре 2017 года после того, как кампании, проходившие в период с февраля по октябрь того же года, затронули организации в Саудовской Аравии, Ираке, Израиле, Объединенных Арабских Эмиратах, Грузии, Индии, Пакистане, Турции и США. Ранние кампании использовали вредоносные документы и полезные данные PowerShell, такие как POWERSTATS, и отличались файлами-ловушками для конкретных регионов, напоминающими сообщения от местных органов власти. учреждения.
По словам исследователей, к 2018 году группа расширила свою виктимологию на Ближнем Востоке, в Европе и Северной Америке и только с сентября того же года скомпрометировала более 130 жертв в 30 организациях. Symantec сообщила, что группа использовала специальные бэкдоры, такие как Powermud и Powemuddy, наряду с инструментами с открытым исходным кодом, включая LaZagne и CrackMapExec, для кражи учетных данных и перемещения по взломанным сетям.
В 2020 и 2021 годах сообщалось о дальнейшей деятельности, связанной с группой, против правительственных, телекоммуникационных и ИТ-организаций в Ираке, Турции, Кувейте, Объединенных Арабских Эмиратах, Грузии, Израиле, Иордании, Саудовской Аравии, Пакистане, Таиланде и Лаосе.
В сентябре 2021 года Министерство финансов США процитировало МаддиУотера, когда ввело санкции против Министерства внутренних дел и министра разведки Ирана за вредоносную кибердеятельность. Центр безопасности выпустил совместную рекомендацию, официально описывающую MuddyWater как спонсируемого иранским правительством субъекта и подчиненного элемента в MOIS.
=== 2023 ===
В феврале 2023 года Национальное управление кибербезопасности Израиля приписало разрушительную кибератаку на Технион (израильский технологический институт) компании MuddyWater, заявив, что операция была проведена под ложным именем программы-вымогателя «DarkBit».
=== 2024 год ===
MuddyWater активизировала свою активность против израильских объектов после начала войны между Израилем и Хамасом. В кампаниях, наблюдавшихся в марте и апреле 2024 года, группа использовала взломанные учетные записи электронной почты и PDF-файлы, содержащие встроенные ссылки, для доставки вредоносных архивов и инструментов удаленного мониторинга израильским сотрудникам транснациональных фирм. За этот период MuddyWater расширила использование законного программного обеспечения для удаленного мониторинга и управления, особенно Atera Agent и ScreenConnect, а также начала развертывать специальный бэкдор, получивший название BugSleep, против организаций в Израиле. Аналитики заявили, что группа распространяла эти инструменты через скомпрометированные учетные записи организаций и службы обмена файлами, такие как Egnyte, Onehub, Sync и TeraBox.
=== 2025 год ===
В октябре 2025 года MuddyWater начала фишинговую кампанию, в ходе которой использовался взломанный почтовый ящик для рассылки вредоносных документов Microsoft Word по Ближнему Востоку и Северной Африке. Сообщается, что кампания охватила более 100 государственных учреждений и использовала специальный бэкдор под названием Phoenix.
=== 2026 ===
В феврале 2026 года Group-IB раскрыла информацию об «операции Олалампо», которую она приписала MuddyWater. Кампания была нацелена на множество организаций и частных лиц, главным образом на Ближнем Востоке и в Северной Африке, и использовала новые семейства вредоносных программ, включая CHAR, GhostFetch, HTTP_VIP и GhostBackDoor, причем один из вариантов общался через бота Telegram, используемого для управления и контроля.
Позже, в марте 2026 года, подразделение 42 Palo Alto Networks заявило, что группа еще больше усовершенствовала свою деятельность за счет компромиссов «доверительных отношений», более широкого нападения на морские, авиационные и финансовые организации, а также нового вредоносного ПО, написанного на Rust (язык программирования)|Rust. Unit 42 также связал операции начала 2025 года с дублированием действий Lyceum, иранской группы вторжений, связанной с OilRig.
== См. также ==
* Список хакерских групп
* Кибервойна и Иран
* APT35
* Котенок Хеликс
Кибервойна в Иране
Хакерские группы
Министерство разведки (Иран)
Организации, созданные в 2017 году
Подробнее: https://en.wikipedia.org/wiki/MuddyWate ... ing_group)
«MuddyWater» — это иранская группа по кибершпионажу и постоянным угрозам (APT), которая считается частью или подчинена Министерству разведки Ирана (Иран)|Министерству разведки и безопасности (MOIS).
Впервые публично объявленный в 2017 году, он нацелен на правительственные учреждения, операторов связи, оборонные организации, университеты, нефтегазовые компании и другие предприятия критически важного сектора на Ближнем Востоке, в Азии, Европе, Африке и Северной Америке.
== Характеристики ==
MuddyWater описывается как шпионская группа, поддерживаемая иранским государством, и отслеживается под многочисленными псевдонимами, в том числе «Seedworm», «Static Kitten», «TEMP.Zagros», «Earth Vetala», «MERCURY», «Mango Sandstorm», «TA450» и '''Богги Змеи'''.
Группа в значительной степени полагалась на целевой фишинг и эксплуатацию общеизвестных уязвимостей на серверах, подключенных к Интернету. Чтобы избежать обнаружения, компания также широко использовала методы заработка на земле, инструменты на основе PowerShell и законное программное обеспечение для удаленного мониторинга и управления, такое как ScreenConnect, SimpleHelp и Atera.
== История ==
=== 2017–2022 гг. ===
Кластер, позже известный как MuddyWater, был публично задокументирован в ноябре 2017 года после того, как кампании, проходившие в период с февраля по октябрь того же года, затронули организации в Саудовской Аравии, Ираке, Израиле, Объединенных Арабских Эмиратах, Грузии, Индии, Пакистане, Турции и США. Ранние кампании использовали вредоносные документы и полезные данные PowerShell, такие как POWERSTATS, и отличались файлами-ловушками для конкретных регионов, напоминающими сообщения от местных органов власти. учреждения.
По словам исследователей, к 2018 году группа расширила свою виктимологию на Ближнем Востоке, в Европе и Северной Америке и только с сентября того же года скомпрометировала более 130 жертв в 30 организациях. Symantec сообщила, что группа использовала специальные бэкдоры, такие как Powermud и Powemuddy, наряду с инструментами с открытым исходным кодом, включая LaZagne и CrackMapExec, для кражи учетных данных и перемещения по взломанным сетям.
В 2020 и 2021 годах сообщалось о дальнейшей деятельности, связанной с группой, против правительственных, телекоммуникационных и ИТ-организаций в Ираке, Турции, Кувейте, Объединенных Арабских Эмиратах, Грузии, Израиле, Иордании, Саудовской Аравии, Пакистане, Таиланде и Лаосе.
В сентябре 2021 года Министерство финансов США процитировало МаддиУотера, когда ввело санкции против Министерства внутренних дел и министра разведки Ирана за вредоносную кибердеятельность. Центр безопасности выпустил совместную рекомендацию, официально описывающую MuddyWater как спонсируемого иранским правительством субъекта и подчиненного элемента в MOIS.
=== 2023 ===
В феврале 2023 года Национальное управление кибербезопасности Израиля приписало разрушительную кибератаку на Технион (израильский технологический институт) компании MuddyWater, заявив, что операция была проведена под ложным именем программы-вымогателя «DarkBit».
=== 2024 год ===
MuddyWater активизировала свою активность против израильских объектов после начала войны между Израилем и Хамасом. В кампаниях, наблюдавшихся в марте и апреле 2024 года, группа использовала взломанные учетные записи электронной почты и PDF-файлы, содержащие встроенные ссылки, для доставки вредоносных архивов и инструментов удаленного мониторинга израильским сотрудникам транснациональных фирм. За этот период MuddyWater расширила использование законного программного обеспечения для удаленного мониторинга и управления, особенно Atera Agent и ScreenConnect, а также начала развертывать специальный бэкдор, получивший название BugSleep, против организаций в Израиле. Аналитики заявили, что группа распространяла эти инструменты через скомпрометированные учетные записи организаций и службы обмена файлами, такие как Egnyte, Onehub, Sync и TeraBox.
=== 2025 год ===
В октябре 2025 года MuddyWater начала фишинговую кампанию, в ходе которой использовался взломанный почтовый ящик для рассылки вредоносных документов Microsoft Word по Ближнему Востоку и Северной Африке. Сообщается, что кампания охватила более 100 государственных учреждений и использовала специальный бэкдор под названием Phoenix.
=== 2026 ===
В феврале 2026 года Group-IB раскрыла информацию об «операции Олалампо», которую она приписала MuddyWater. Кампания была нацелена на множество организаций и частных лиц, главным образом на Ближнем Востоке и в Северной Африке, и использовала новые семейства вредоносных программ, включая CHAR, GhostFetch, HTTP_VIP и GhostBackDoor, причем один из вариантов общался через бота Telegram, используемого для управления и контроля.
Позже, в марте 2026 года, подразделение 42 Palo Alto Networks заявило, что группа еще больше усовершенствовала свою деятельность за счет компромиссов «доверительных отношений», более широкого нападения на морские, авиационные и финансовые организации, а также нового вредоносного ПО, написанного на Rust (язык программирования)|Rust. Unit 42 также связал операции начала 2025 года с дублированием действий Lyceum, иранской группы вторжений, связанной с OilRig.
== См. также ==
* Список хакерских групп
* Кибервойна и Иран
* APT35
* Котенок Хеликс
Кибервойна в Иране
Хакерские группы
Министерство разведки (Иран)
Организации, созданные в 2017 году
Подробнее: https://en.wikipedia.org/wiki/MuddyWate ... ing_group)
-
- Похожие темы
- Ответы
- Просмотры
- Последнее сообщение