Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

APT MuddyWater: многоступенчатый фишинг против финансовых директоров

3 мин
Кратко: расследование выявило масштабную кампанию APT MuddyWater, ориентированную на финансовых директоров и руководителей финансовых отделов в Европе, Северной Америке и Азии. Злоумышленники используют целевой фишинг с размещением страниц на Firebase, многослойные загрузчики в формате VBS и внедряют средство удаленного доступа NetBird с набором механизмов закрепления и скрытности. Кампания стартует с продуманной социальной инженерии: злоумышленники рассылают целевые фишинговые письма, которые перенаправляют жертву на фишинг-страницы, размещённые в проектах Firebase/Web App. Эти страницы маскируются под легитимные ресурсы и используют CAPTCHA для повышения видимости легитимности и склонения пользователей к вводу конфиденциальных данных. Для устойчивого присутствия и обхода обнаружения вредоносное ПО применяет несколько техник: Расследование зафиксировало адаптивность злоумышленников: инфраструктура перемещалась с IP 192.3.95.152 на 198.46.178.135 в ответ на сетевые контрмеры. Также обн
Оглавление
Источник: hunt.io
Источник: hunt.io

Кратко: расследование выявило масштабную кампанию APT MuddyWater, ориентированную на финансовых директоров и руководителей финансовых отделов в Европе, Северной Америке и Азии. Злоумышленники используют целевой фишинг с размещением страниц на Firebase, многослойные загрузчики в формате VBS и внедряют средство удаленного доступа NetBird с набором механизмов закрепления и скрытности.

Как начинается атака

Кампания стартует с продуманной социальной инженерии: злоумышленники рассылают целевые фишинговые письма, которые перенаправляют жертву на фишинг-страницы, размещённые в проектах Firebase/Web App. Эти страницы маскируются под легитимные ресурсы и используют CAPTCHA для повышения видимости легитимности и склонения пользователей к вводу конфиденциальных данных.

Доставка и установка вредоносной нагрузки

  • Первичный доступ осуществляется через ZIP-архивы с загрузчиками на VBS.
  • После запуска скрипта VBS инициируется установка NetBird, используемого злоумышленниками как средство удалённого доступа и для поддержания постоянного присутствия.
  • VBS-скрипт выполняет не только запуск команд, но и мероприятия по сокрытию следов: например, удаляет ярлыки установки NetBird с рабочих столов пользователей.

Механизмы закрепления и сокрытия

Для устойчивого присутствия и обхода обнаружения вредоносное ПО применяет несколько техник:

  • создание скрытых локальных учётных записей с правами администратора;
  • включение RDP (Remote Desktop Protocol) для обеспечения альтернативных каналов доступа;
  • создание запланированных задач, автоматически перезапускающих службу NetBird после загрузки системы.

Инфраструктура и эволюция кампании

Расследование зафиксировало адаптивность злоумышленников: инфраструктура перемещалась с IP 192.3.95.152 на 198.46.178.135 в ответ на сетевые контрмеры. Также обнаружено несколько путей размещения в рамках одних и тех же проектов Firebase/Web App, что указывает на организованную стратегию распространения фишинговых наборов по разным доменам.

«Эволюция инфраструктуры подтверждает принадлежность к APT MuddyWater.»

Атрибуция поддерживается совпадением инфраструктурных индикаторов и TTP (тактика, методы и процедуры) с ранее задокументированными операциями группы: идентичные названия служб, схожие конфигурации и пересечение показателей деятельности.

Технические особенности вредоносной полезной нагрузки

  • VBS-загрузчики выполняют вредоносные команды и одновременно предпринимают меры по скрытию активности (удаление ярлыков и прочих видимых следов).
  • NetBird используется как легитимно выглядящее ПО для удалённого доступа, что усложняет детекцию на уровне безопасности конечных точек.

Рекомендации по защите и смягчению рисков

Организациям рекомендуется реализовать комплекс мер для снижения вероятности успешных атак такого рода:

  • блокировать на сетевом уровне и на уровнях конечных точек IP-адреса и домены, связанные с кампанией (включая 192.3.95.152 и 198.46.178.135);
  • проверять и контролировать использование легитимного ПО для удалённого доступа (например, NetBird, AteraAgent) на предмет несанкционированной установки и конфигураций;
  • внедрять списки разрешённых приложений (application allowlisting) и механизмы контроля приложений на конечных точках;
  • усилить детекцию фишинга: контент-фильтры, моделирование атак, обучение целевых сотрудников (CFO, руководители финансовых отделов);
  • ввести усовершенствованные правила обнаружения, отслеживающие выполнение скриптов VBS, создание подозрительных локальных учётных записей и включение RDP;
  • проверять и ограничивать создание запланированных задач и автоматических служб, особенно связанных с неизвестными или внешними компонентами.

Вывод

Расследование подчёркивает системный и устойчивый характер операций APT MuddyWater. Группа демонстрирует продуманную, многоступенчатую тактику — от целевого фишинга через Firebase и использование CAPTCHA до внедрения через VBS и закрепления с помощью NetBird. Целями становятся ценные объекты финансового сектора, а масштаб и адаптивность инфраструктуры требуют от организаций проактивных мер защиты и постоянного мониторинга.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "APT MuddyWater: многоступенчатый фишинг против финансовых директоров".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются