Íránští hackeři zaútočili na přes 100 vládních organizací pomocí backdooru Phoenix

Íránská hackerská skupina MuddyWater se ve svých útocích zaměřila na více než 100 vládních subjektů, přičemž nasadila čtvrtou verzi backdooru Phoenix. Tato hrozba je známá také pod názvy Static Kitten, Mercury a Seedworm a obvykle cílí na vládní a soukromé organizace v regionu Blízkého východu.

Phishingová kampaň přes kompromitovaný účet

Od 19. srpna zahájili hackeři phishingovou kampaň z kompromitovaného účtu, ke kterému získali přístup prostřednictvím služby NordVPN. E-maily byly rozeslány mnoha vládním a mezinárodním organizacím na Blízkém východě a v severní Africe, uvádí ve své zprávě kybernetická bezpečnostní společnost Group-IB.

Podle výzkumníků útočníci 24. srpna vypnuli server a serverovou komponentu pro řízení a kontrolu (C2), což pravděpodobně naznačuje novou fázi útoku, která se spoléhala na další nástroje a malware pro sběr informací z kompromitovaných systémů.

Většina cílů této kampaně MuddyWater jsou velvyslanectví, diplomatické mise, ministerstva zahraničních věcí a konzuláty.

Návrat k útokům pomocí maker

Výzkum Group-IB odhalil, že MuddyWater používal e-maily se škodlivými dokumenty Word obsahujícími makro kód, který dekódoval a zapsal na disk zavaděč malwaru FakeUpdate.

E-maily obsahují přílohy se škodlivými dokumenty Word, které instruují příjemce k „povolení obsahu“ v Microsoft Office. Tato akce spustí VBA makro, které zapíše na disk zavaděč malwaru ‚FakeUpdate‘.

Není jasné, co přimělo MuddyWater k doručování malwaru prostřednictvím makro kódu skrytého v dokumentech Office, protože tato technika byla populární před několika lety, kdy se makra spouštěla automaticky při otevření dokumentu.

Od té doby, co Microsoft ve výchozím nastavení zakázal makra, útočníci přešli k jiným metodám, přičemž novější je ClickFix, který MuddyWater také používal v minulých kampaních.

Phoenix a Chrome stealer

Backdoor Phoenix byl zdokumentován v minulých útocích MuddyWater a varianta použitá v této kampani, verze 4, zahrnuje další mechanismus persistence založený na COM a několik funkčních rozdílů.

Malware shromažďuje informace o systému, jako je název počítače, doména, verze Windows a uživatelské jméno, aby profiloval oběť. Připojuje se ke svému C2 prostřednictvím WinHTTP a začíná vysílat signály a dotazovat se na příkazy.

Dalším nástrojem, který MuddyWater v těchto útocích použil, je vlastní infostealer, který se pokouší exfiltrovat databázi z prohlížečů Chrome, Opera, Brave a Edge, extrahovat přihlašovací údaje a získat hlavní klíč k jejich dešifrování.

Group-IB přisuzuje útoky skupině MuddyWater s vysokou mírou jistoty na základě použití rodin malwaru a maker pozorovaných v minulých kampaních, použití běžných technik dekódování řetězců na novém malwaru podobných dříve používaným rodinám a jejich specifických vzorců cílení.

Zdroj: bleepingcomputer.com

security

Škodlivé rozšíření VSX SleepyDuck využívá Ethereum k udržení svého řídicího serveru při životě

Výzkumníci v oblasti kybernetické bezpečnosti upozornili na nové škodlivé rozšíření v registru Open VSX, které obsahuje trojského koně vzdáleného přístupu s názvem SleepyDuck. Podle Johna

ČÍST DÁLE »

Radek Vyškovský 14 listopadu, 2025

security

Jak kontinuální správa expozic transformuje bezpečnostní operace

Bezpečnostní operační centra (SOC) jsou dnes zahlcena. Analytici denně zpracovávají tisíce upozornění a tráví značnou část času pronásledováním falešných poplachů a reaktivním přizpůsobováním detekčních pravidel.

ČÍST DÁLE »

Radek Vyškovský 13 listopadu, 2025

security

Kyberzločinci zneužívají nástroje pro vzdálenou správu k infiltraci logistických a přepravních sítí

Kyberzločinci stále častěji zaměřují své útoky na kamionové dopravce a logistické společnosti s cílem infikovat je softwarem pro vzdálené monitorování a správu (RMM) za účelem

ČÍST DÁLE »

Radek Vyškovský 12 listopadu, 2025