Symantec рапортует о новой загадочной группировке, которую пока не связывают ни с одним государством. MuddyWater (она же Seedworm) весьма активна: с конца сентября по середину ноября жертвами киберпреступников стали более 130 сотрудников в 30 организациях.
В последние несколько месяцев, по словам экспертов, MuddyWater активно атакуют организации на Среднем Востоке, в Европе и Северной Америке с целью сбора разведданных. Впервые активность группировки была зафиксирована в 2017 году. Тогда география атак злоумышленников в основном охватывала цели в Иране и Саудовской Аравии, однако сейчас их аппетиты расширились.
Узнать детали о группировке Symantec удалось следующим образом: в конце ноября специалисты обнаружили новый PowerShell-бэкдор, получивший название Powemuddy (Powerstats), обновляемый с завидной регулярностью. Эксперты также выявили на GitHub репозиторий, где MuddyWater хранила скрипты и инструменты для компрометации компьютеров жертв. Нашли они и учетную запись в Twitter, предположительно связанную с руководством группировки. Ее владелец следил за разработчиками открытого ПО и многочисленными исследователями в области безопасности, в том числе отслеживающими деятельность Muddywater (т.е. и самих Symantec).
Тактика MuddyWater такова: взломав систему, киберпреступники первым делом похищают пароли, сохраненные в браузере и электронной почте, а затем используют открытые инструменты LaZagne и Crackmapexec для кражи учетных данных для авторизации в Windows.
Атакам хакеров подвергались организации в России, Саудовской Аравии, Афганистане, Иордании и других странах. Основной интерес для группировки представляют компании в сфере телекоммуникаций, в IT- и нефтегазовом секторах, а также университеты на Среднем Востоке и посольства стран ближневосточного региона в европейских государствах. Аффилирована ли группировка с каким-либо государством или преследует собственные цели, пока неясно.