За два месяца группировка MuddyWater атаковала 30 организаций по всему миру
В последние несколько месяцев группировка MuddyWater (она же Seedworm) активно атакует организации на Среднем Востоке, в Европе и Северной Америке с целью сбора разведданных. По информации специалистов компании Symantec, в период с конца сентября по середину ноября текущего года жертвами киберпреступников стали более 130 сотрудников в 30 организациях.
Впервые активность группировки была зафиксирована в 2017 году, тогда злоумышленники в основном концентрировались на целях в Иране и Саудовской Аравии, однако сейчас расширили географию атак.
В конце ноября специалисты обнаружили новый PowerShell-бэкдор, получивший название Powemuddy (Powerstats). В последний год группировка постоянно обновляла бэкдор и другие инструменты в целях скрыть свою деятельность. Кроме того, исследователи выявили на GitHub репозиторий, где MuddyWater хранила скрипты и инструменты для компрометации компьютеров жертв.
Взломав систему, киберпреступники первым делом похищают пароли, сохраненные в браузере и электронной почте, а затем используют открытые инструменты LaZagne и Crackmapexec для кражи учетных данных для авторизации в Windows.
Кроме прочего, специалисты выявили несколько связанных с MuddyWater online-аккаунтов, включая общедоступный репозиторий на GitHub и учетную запись в Twitter, владелец которой следил за разработчиками открытого ПО и многочисленными исследователями в области безопасности, в том числе отслеживающими деятельность группировки.
Всего за два месяца злоумышленникам удалось скомпрометировать 131 жертву, в основном в Пакистане и Турции. Атакам также подвергались организации в России, Саудовской Аравии, Афганистане, Иордании и других странах. Основной интерес для группировки представляют компании в сфере телекоммуникаций, в IT- и нефтегазовом секторах, а также университеты на Среднем Востоке и посольства стран ближневосточного региона в европейских государствах.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш