Íránská skupina MuddyWater je aktivní od roku 2017. Nedávno se objevila nová kampaň zaměřená na Bělorusko, Turecko a Ukrajinu.
Jak upozornil výzkumný tým Check Point Research, útoky obvykle začínají cíleným e-mailem odeslaným organizaci. Dalším krokem je ukradení legitimních dokumentů z infikovaných systémů organizace a poté jejich zneužití a distribuce dalším obětem.
„Soubory často obsahují loga skutečných společností nebo vládních subjektů, aby vše působilo důvěryhodněji, a připojena je zpráva, která uživatele vyzývá k povolení obsahu. Dobře zpracované škodlivé dokumenty využívají i sociální inženýrství a jsou první fází dlouhého infekčního řetězce, který končí infikováním powershellovým backdoorem POWERSTATS, který je právě spojovaný s touto útočnou skupinou. Tento výkonný backdoor může přijímat příkazy od útočníků, což umožňuje krást soubory z infikovaného systému, spouštět další skripty nebo třeba mazat soubory,“ uvádí Petr Kadrmas, Security Engineer Eastern Europe ve společnosti Check Point.
Tyto metody zůstávají od počátku stejné, ale některé mezifáze se mění pro znesnadnění odhalení. V tomto posledním útoku poprvé vidíme ve druhé fázi spustitelný soubor, který není napsán v PowerShellu.
Ačkoli se MuddyWater většinou zaměřuje na oblast Blízkého východu, politická příslušnost, motivy a cíle nejsou zatím příliš zřejmé. V minulosti patřily mezi hlavní cíle země jako Saúdská Arábie, SAE a Turecko, ale kampaně se postupně rozšířily i na další země jako Bělorusko a Ukrajina.