伊朗关联的MuddyWater组织在全球间谍活动中瞄准100多个组织

被称为MuddyWater的伊朗国家背景组织近期发起新一轮攻击活动，利用遭入侵的电子邮件账户分发名为Phoenix的后门程序，目标覆盖中东和北非（MENA）地区的多个组织，包括超过100个政府实体。

新加坡网络安全公司Group-IB在今天发布的技术报告中指出，该活动的最终目标是渗透高价值目标并促进情报收集。超过四分之三的攻击目标包括大使馆、外交使团、外交部和领事馆，其次是国际组织和电信公司。

安全研究人员Mahmoud Zohdy和Mansour Alhmoud表示：“MuddyWater通过NordVPN（被威胁行为者滥用的合法服务）访问遭入侵邮箱，并利用其发送看似真实通信的钓鱼邮件。通过利用此类通信相关的信任和权威，该活动显著提高了欺骗收件人打开恶意附件的成功率。”

攻击链本质上涉及威胁行为者分发武器化的Microsoft Word文档，当打开时会提示电子邮件收件人启用宏以查看内容。一旦毫无戒心的用户启用该功能，文档就会执行恶意的VBA代码，最终部署Phoenix后门的第4版本。

后门通过名为FakeUpdate的加载程序启动，该加载程序由VBA投放器解码并写入磁盘。加载程序包含经过AES加密的Phoenix有效载荷。

MuddyWater（亦被称为Boggy Serpens、Cobalt Ulster、Earth Vetala、Mango Sandstorm、Seedworm、Static Kitten、TA450、TEMP.Zagros和Yellow Nix）被评估为与伊朗情报与安全部（MOIS）有关联。已知该组织至少自2017年以来一直处于活跃状态。

Group-IB于上月首次记录了该威胁行为者对Phoenix的使用，将其描述为BugSleep的轻量级版本（BugSleep是与MuddyWater关联的基于Python的植入程序）。已在野外检测到两个不同版本的Phoenix（版本3和版本4），具有收集系统信息、建立持久性、启动交互式shell以及上传/下载文件的能力。

该网络安全供应商表示，攻击者的命令与控制（C2）服务器（“159.198.36[.]115”）还被发现托管远程监控和管理（RMM）实用程序以及针对Brave、Google Chrome、Microsoft Edge和Opera的自定义浏览器凭证窃取程序，表明它们可能在攻击行动中被使用。值得注意的是，MuddyWater多年来一直有通过钓鱼活动分发远程访问软件的历史。

研究人员指出：“通过部署更新的恶意软件变种（如Phoenix v4后门、FakeUpdate注入器和自定义凭证窃取工具）以及合法的RMM实用程序（如PDQ和Action1），MuddyWater展示了将自定义代码与商业工具集成的增强能力，以提高隐蔽性和持久性。”