Сыграем в «Змейку»? Иранские хакеры нашли способ взломать через ностальгию
NewsMakerMuddyWater провела скрытую операцию против израильских организаций, задействовав новые инструменты и игровой маскарад.
Иранская группировка MuddyWater значительно обновила свой арсенал и тактику, проведя серию целевых атак против организаций в Израиле и одной компании в Египте. Специалисты ESET зафиксировали применение совершенно новых инструментов, среди которых выделяется загрузчик Fooder — он не только запускал вредоносный код, но и маскировался под классическую игру «Змейка», скрывая свой реальный функционал и сбивая с толку системы анализа. Эта кампания продемонстрировала необычную для MuddyWater скрытность и техническую зрелость.
По данным ESET, MuddyWater (также известная как Mango Sandstorm или TA450), одна из наиболее активных иранских APT-групп , в этот раз отказалась от привычной шумной тактики. Вместо ручных команд и грубого взаимодействия с заражёнными системами злоумышленники применили более точечный и аккуратный подход, делая упор на незаметное закрепление и кражу данных.
Ключевую роль сыграл новый загрузчик Fooder, написанный на C/C++. Он рефлективно загружал полезную нагрузку прямо в память, что снижало риск обнаружения. Несколько его вариантов маскировались под простую игру Snake: внутри кода присутствовали игровые строки, элементы интерфейса и даже логика циклов, имитирующая движение змейки. Эта маскировка выполняла двойную функцию — обманывала поверхностный анализ и одновременно обеспечивала длительные задержки в выполнении, что делало вредоносное поведение менее заметным для песочниц, рассчитанных на быстрые действия. Через Fooder в систему попадал новый бэкдор MuddyViper, способный выполнять команды, открывать реверс-шеллы, выгружать и загружать файлы, собирать системную информацию и красть учётные данные.
Помимо MuddyViper, в цепочке использовались и специализированные инструменты: воровщики CE-Notes и LP-Notes, браузерный stealer Blub, а также улучшенные reverse-туннели go-socks5. Исследователи отдельно отмечают необычную деталь — активное применение CNG, современного криптографического API Windows, что практически не встречается у других группировок, связанных с Ираном.
Иранская группировка MuddyWater значительно обновила свой арсенал и тактику, проведя серию целевых атак против организаций в Израиле и одной компании в Египте. Специалисты ESET зафиксировали применение совершенно новых инструментов, среди которых выделяется загрузчик Fooder — он не только запускал вредоносный код, но и маскировался под классическую игру «Змейка», скрывая свой реальный функционал и сбивая с толку системы анализа. Эта кампания продемонстрировала необычную для MuddyWater скрытность и техническую зрелость.
По данным ESET, MuddyWater (также известная как Mango Sandstorm или TA450), одна из наиболее активных иранских APT-групп , в этот раз отказалась от привычной шумной тактики. Вместо ручных команд и грубого взаимодействия с заражёнными системами злоумышленники применили более точечный и аккуратный подход, делая упор на незаметное закрепление и кражу данных.
Ключевую роль сыграл новый загрузчик Fooder, написанный на C/C++. Он рефлективно загружал полезную нагрузку прямо в память, что снижало риск обнаружения. Несколько его вариантов маскировались под простую игру Snake: внутри кода присутствовали игровые строки, элементы интерфейса и даже логика циклов, имитирующая движение змейки. Эта маскировка выполняла двойную функцию — обманывала поверхностный анализ и одновременно обеспечивала длительные задержки в выполнении, что делало вредоносное поведение менее заметным для песочниц, рассчитанных на быстрые действия. Через Fooder в систему попадал новый бэкдор MuddyViper, способный выполнять команды, открывать реверс-шеллы, выгружать и загружать файлы, собирать системную информацию и красть учётные данные.
Помимо MuddyViper, в цепочке использовались и специализированные инструменты: воровщики CE-Notes и LP-Notes, браузерный stealer Blub, а также улучшенные reverse-туннели go-socks5. Исследователи отдельно отмечают необычную деталь — активное применение CNG, современного криптографического API Windows, что практически не встречается у других группировок, связанных с Ираном.