Những kẻ tấn công này còn được biết đến với các tên gọi khác như Static Kitten, Mercury và Seedworm, thường nhắm mục tiêu vào các tổ chức chính phủ và tư nhân ở khu vực Trung Đông.

Bắt đầu từ ngày 19/8, các tin tặc đã phát động chiến dịch lừa đảo từ một tài khoản email bị xâm phạm mà chúng đã truy cập thông qua dịch vụ NordVPN. Báo cáo cho rằng, các email này được gửi đến nhiều tổ chức chính phủ và quốc tế ở Trung Đông và Bắc Phi. Hầu hết các mục tiêu của chiến dịch MuddyWater nhắm vào các đại sứ quán, lãnh sự quán và phái đoàn ngoại giao.

Mục tiêu của chiến dịch MuddyWaters mới nhất

Email độc hại

Nghiên cứu của Group-IB cho thấy, các tin tặc MuddyWater sử dụng email có chứa tài liệu Word độc hại với mã macro và ghi vào đĩa trình tải phần mềm độc hại FakeUpdate. Theo đó, email đính kèm Word hướng dẫn người nhận “bật nội dung” trên Microsoft Office. Hành động này sẽ kích hoạt một macro VBA để nhúng FakeUpdate vào ổ đĩa.

Không rõ lý do gì khiến MuddyWater phát tán mã độc thông qua mã macro ẩn trong tài liệu Office, vì kỹ thuật này đã phổ biến từ nhiều năm trước, khi các macro tự động chạy khi mở tài liệu. Thực tế, Microsoft đã vô hiệu hóa macro theo mặc định nên kẻ tấn công đã chuyển sang các phương pháp khác, gần đây nhất là ClickFix, cũng được các tin tặcMuddyWater sử dụng trong các chiến dịch trước đây.

Các nhà nghiên cứu của Group-IB cho biết, trình tải độc hại trong các cuộc tấn công gần đây của MuddyWater đã giải mã backdoor Phoenix, vốn là một phần mềm nhúng được mã hóa AES.

Phần mềm độc hại được ghi vào thư mục “C:\ProgramData\sysprocupdate.exe” và duy trì sự tồn tại bằng cách sửa đổi Windows Registry bằng cấu hình cho người dùng hiện tại, bao gồm cả ứng dụng sẽ chạy dưới dạng shell sau khi đăng nhập vào hệ thống.

Chuỗi tấn công được quan sát

Phoenix và Chrome stealer

Backdoor Phoenix đã được ghi nhận trong các cuộc tấn công MuddyWater trước đây và biến thể được sử dụng trong chiến dịch này (phiên bản thứ 4), bao gồm cơ chế duy trì dựa trên COM bổ sung và một số khác biệt về chức năng.

Phần mềm độc hại thu thập thông tin về hệ thống, chẳng hạn như tên máy tính, tên miền, phiên bản Windows và tên người dùng, để thiết lập thông tin hồ sơ nạn nhân. Mã độc kết nối với máy chủ điều khiển và ra lệnh (C2) thông qua WinHTTP và bắt đầu phát tín hiệu và thăm dò lệnh.

Sự khác biệt giữa Phoenix phiên bản 3 và phiên bản 4

Group-IB đã xác nhận rằng các lệnh sau được hỗ trợ trong Phoenix v4: 65 - Sleep; 68 - Tải tệp lên; 85 - Tải xuống tệp; 67 - Thực thi shell; 83 - Cập nhật thời gian sleep.

Một công cụ khác mà nhóm tin tặc MuddyWater sử dụng trong các cuộc tấn công này là phần mềm đánh cắp thông tin tùy chỉnh, nhằm mục đích thu thập thông tin cơ sở dữ liệu từ các trình duyệt Chrome, Opera, Brave và Edge, từ đó trích xuất thông tin đăng nhập và lấy khóa chính (master key) để giải mã chúng.

Trên cơ sở hạ tầng C2 của MuddyWater, các nhà nghiên cứu cũng tìm thấy tiện ích PDQ để triển khai và quản lý phần mềm, cùng công cụ Action1 RMM (giám sát và quản lý từ xa). Group-IB nhận định chiến dịch này do MuddyWater thực hiện với độ tin cậy cao, dựa trên việc sử dụng các họ phần mềm độc hại và macro được thấy trong các cuộc tấn công trước đó, cùng các kỹ thuật giải mã chuỗi phổ biến trên phần mềm độc hại mới tương tự như các dòng mã độc đã từng được sử dụng cũng như các mục tiêu cụ thể của chúng.