Hakeri iz Irana su pomoću malvera napali više od stotinu državnih institucija.
Istraživači sajber bezbednosti otkrili su novu kampanju iranske hakerske grupe MuddyWater, koja je ciljala više od stotinu državnih institucija širom Bliskog istoka i Severne Afrike, koristeći napredni malver pod nazivom Phoenix Backdoor.
Prema izveštaju kompanije Group-IB, napadi su započeti sredinom avgusta, kada su hakeri pomoću kompromitovanog naloga na servisu NordVPN slali fišing mejlove državnim organima. Samo nekoliko dana kasnije, komandno-kontrolni server (C2) je ugašen, što ukazuje na prelazak u drugu fazu operacije.
U središtu napada nalazi se malver Phoenix Backdoor v4, skriven u Word dokumentima sa makro kodom, koji se aktivira nakon što korisnik otvori fajl. Jednom instaliran, malver prikuplja informacije o sistemu, uključujući ime računara, domen, verziju Windowsa i korisničko ime i omogućava napadačima potpunu daljinsku kontrolu nad zaraženim uređajem.
Pored toga, otkriven je i alat za krađu podataka iz veb pregledača kao što su Chrome, Edge, Opera i Brave, uključujući lozinke i pristupne ključeve.
Istraživači navode da se u ovom slučaju koriste poznate taktike i alati karakteristični za MuddyWater, koji već godinama deluje pod pokroviteljstvom iranske vlade.
