MuddyWater új kémkedési eszközei
A Group-IB cikke a MuddyWater nevű iráni állami támogatású kiberkémkedő csoport 2025-ös tevékenységét és módszereit mutatja be. A csoport, amely az Iráni Állambiztonsági Minisztériumhoz (MOIS) köthető, elsősorban kormányzati szervezeteket, nemzetközi szervezeteket és stratégiai fontosságú vállalatokat céloz meg a Közép-Kelet és Európa régióiban.
A MuddyWater 2025 elején jelentősen átalakult, a korábbi tömeges phishing kampányok helyett célzottabb, szélesebb körű kémkedési akciókra helyezte a hangsúlyt. A csoport egy nagy léptékű phishing kampány során több mint száz szervezetet támadott meg a Közép-Kelet és Észak-Afrika régiójában. A támadások során kompromittált e-mail fiókokat használtak egy frissített, Phoenix backdoor terjesztésére, amely lehetővé teszi a távoli vezérlést és az adatgyűjtést a fertőzött rendszereken. A Phoenix képes rendszerinformációk, például számítógépnevek, Windows verziók és felhasználói hitelesítő adatok gyűjtésére, így a támadók tartós hozzáférést szerezhetnek a célszervezetek hálózatához.
A MuddyWater korábban gyakran alkalmazott legitim távoli monitorozási és kezelési (RMM) eszközöket, mint például a ScreenConnect, RemoteUtilities vagy Syncro, amelyek segítségével nehezen észrevehető módon tudtak kapcsolódni a célgépekhez, és parancsokat végrehajtani. 2025-ben azonban a csoport módszereiben és infrastruktúrájában jelentős változás történt, kevésbé hagyatkozik az RMM eszközökre, és célzottabbá vált a tevékenysége. A Group-IB elemzése szerint a MuddyWater infrastruktúrája és eszközkészlete folyamatosan fejlődik, és egyre nehezebben észlelhetők a hagyományos biztonsági eszközökkel.
A csoport tevékenysége kiemelkedő példája annak, hogyan fejlődnek és alkalmazkodnak az állami támogatású kiberbűnözési csoportok. A MuddyWater által használt legitim eszközök miatt a hagyományos vírusirtó programok nem mindig képesek felismerni a támadásokat, ezért különösen fontos a felhasználói tudatosság növelése, a gyanús e-mailek és fájlok felismerése, valamint a rendszeres biztonsági frissítések és a hálózati forgalom monitorozása.
