Istraživači sajber bezbjednosti upozorili su na novu kampanju iranske hakerske grupe MuddyWater, koja je u posljednjim mjesecima napala više od stotinu državnih institucija širom Bliskog istoka i sjeverne Afrike koristeći malver Phoenix Backdoor.
Prema izvještaju kompanije Group-IB, napadi su započeli sredinom augusta, kada su napadači koristili kompromitovane NordVPN naloge za slanje ciljanih fišing mejlova državnim organima. Nakon inicijalne faze kompromitovanja naloga i slanja zaraženih dokumenata, komandno-kontrolni server (C2) koji je koordinisao kampanju ugašen je nekoliko dana kasnije, što ukazuje na prelazak u narednu fazu operacije.
U središtu kampanje nalazi se Phoenix Backdoor v4, skriven u Word dokumentima sa aktivnim makro kodom. Malver se aktivira kada korisnik otvori fajl i odobri izvršenje makroa. Jednom instaliran, Phoenix Backdoor prikuplja podatke o sistemu — ime računara, domen, verziju Windows operativnog sistema i korisničko ime — i omogućava napadačima potpunu daljinsku kontrolu nad zaraženim uređajem.
Istraživači su takođe detektovali alatke za krađu podataka iz web-pregledača (Chrome, Edge, Opera, Brave), uključujući lozinke i pristupne ključeve, što napadačima omogućava dalji lateralni pomak i eksfiltraciju osjetljivih podataka.
Analitičari Group-IB navode da su korišćene taktike, tehnike i alati u skladu sa ranije poznatim operacijama grupe MuddyWater, koja se već godinama dovodi u vezu sa iranskim državnim strukturama. Ciljevi kampanje — državne institucije u regiji — ukazuju na koordinisani napor sa geopolitičkim motivima.
Preporuke za zaštitu (za organizacije i korisnike)
-
Ne otvarati priloge iz sumnjivih ili neočekivanih mejlova — posebno dokumente koji traže omogućavanje makroa.
-
Provjeriti izvore i autentifikaciju pošiljalaca prenesenih preko VPN i drugih eksternih servisa.
-
Ažurirati operativne sisteme i softver, uključujući preglednike i antivirusna rješenja.
-
Onemogućiti automatsko izvršavanje makroa u kancelarijskim paketima i primijeniti pravila za rukovanje prilozima.
-
Koristiti višefaktorsku autentifikaciju (MFA) i rotaciju pristupnih ključeva.
-
Segmentacija mreže i ograničenje privilegija mogu spriječiti lateralno kretanje malvera.
-
U slučaju sumnje na kompromitaciju, odmah izolovati pogođene uređaje i obratiti se stručnjacima za incident response.
Ova kampanja jasno pokazuje da su državne institucije prioritetna meta sofisticiranih državnih i polu-državnih hakerskih grupa. Stoga su proaktivne mjere bezbjednosti, obuka osoblja i brza reakcija ključni za minimiziranje štete i očuvanje integriteta kritične infrastrukture.