Специалисты команды Ctrl-Alt-Intel обнаружили в интернете открытый сервер, связанный с известной иранской кибершпионской группировкой MuddyWater. Получив доступ к системе, аналитики смогли изучить инструменты атак, журналы операций и часть украденных данных. Это позволило буквально проследить весь жизненный цикл кибершпионской операции — от поиска целей до управления заражёнными устройствами и вывода информации.
В отчете говорится о группе MuddyWater, которая также известна под названиями Static Kitten, Mango Sandstorm и Seedworm. По данным исследователей, инфраструктура этой группы ранее связывалась с Министерством разведки и безопасности Ирана.
Аналитики изучили виртуальный сервер, расположенный в Нидерландах. На нём находились панели управления вредоносными инструментами, скрипты атак, журналы действий операторов и фрагменты данных жертв. Такой набор материалов фактически позволил исследователям заглянуть внутрь действующей кибершпионской инфраструктуры.
Исследование показало, что операторы активно занимались поиском уязвимых систем по всему интернету. Для разведки использовались инструменты Shodan и Nuclei, а также сервисы для перебора поддоменов. Среди потенциальных целей оказались организации из Израиля, Иордании, Египта, Объединённых Арабских Эмиратов, Португалии и США. В список попали медицинские учреждения, ИТ-компании и государственные структуры.
Для получения первоначального доступа применялись разные методы. Операторы массово проверяли открытые сервисы и подбирали пароли к почтовым системам Outlook Web Access и SMTP. Помимо этого использовались известные уязвимости в корпоративном программном обеспечении. Среди затронутых продуктов оказались решения Fortinet FortiOS, SolarWinds N-central, Citrix NetScaler, а также системы от BeyondTrust и Ivanti. Отдельно исследователи обнаружили атаки через SQL-инъекции на нескольких веб-ресурсах, среди них иранская торговая платформа BaSalam.
После проникновения в сеть злоумышленники разворачивали собственные системы управления заражёнными устройствами. На сервере нашли сразу несколько таких платформ. Одна из них — KeyC2. Этот инструмент написан на Python и позволяет удалённо выполнять команды, загружать файлы и перенаправлять заражённые машины на другие управляющие серверы.
Более продвинутый инструмент PersianC2 работает через HTTP и имеет полноценную панель управления. Операторы могли формировать очереди команд, передавать файлы и задавать интервал связи заражённых систем с сервером управления.
Отдельный фреймворк ArenaC2 маскировался под обычный новостной сайт ArenaReport. При открытии страницы пользователь видел обычный веб-контент, тогда как вредоносный код обменивался данными через скрытые HTTP-запросы. Для защиты канала использовалось шифрование AES-256.