MuddyWater
MuddyWater è un gruppo di cyber spionaggio legato all'Iran attivo almeno dal 2017, noto per aver preso di mira i settori governativi, delle telecomunicazioni, della difesa e dell'energia a livello globale attraverso sofisticate tecnichephishing di sfruttamento.
L'origine di MuddyWater
MuddyWater, noto anche come STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm e TEMP.Zagros, è un gruppo di minaccia persistente avanzata (APT) identificato come parte del Ministero dell'Intelligence e della Sicurezza iraniano (MOIS). Attivo almeno dal 2017, MuddyWater è specializzato in operazioni di spionaggio informatico e utilizza una varietà di tecniche sofisticate e malware personalizzati malware le sue campagne. Il gruppo è particolarmente adattabile e evolve costantemente le sue tattiche e malware eludere il rilevamento e le difese.
Paesi destinatari
Le vittime di MuddyWater sono sparse in tutto il mondo, in particolare in Medio Oriente, Eurasia e Asia centrale, con un'attenzione particolare per Turchia, Tagikistan, Paesi Bassi, Azerbaigian, Armenia, Pakistan, Iraq, Oman, Arabia Saudita, Emirati Arabi Uniti, Siria, Afghanistan, India, Giordania, Israele, Palestina, Turkmenistan, Georgia, Malta, Germania e Stati Uniti. Tale diversità geografica dimostra la portata delle loro campagne di spionaggio internazionale.
Settori di riferimento
MuddyWater ha condotto operazioni contro diversi settori, tra cui enti governativi, organizzazioni militari, telecomunicazioni, mondo accademico, petrolio e gas, aviazione, sanità, ONG, tecnologia, servizi finanziari, ospitalità, agricoltura, energia, farmaceutica, immobiliare, aerospaziale e amministrazioni locali. L'ampia gamma di obiettivi indica un interesse strategico nei settori critici per le infrastrutture nazionali e il controllo delle informazioni.
Vittime note
Tra gli attacchi specifici noti figurano le recenti campagne (2025) contro diverse istituzioni accademiche israeliane, che riflettono un interesse costante per le dinamiche politiche mediorientali. Inoltre, nel corso della sua storia operativa, il gruppo ha ripetutamente preso di mira organizzazioni governative, di difesa, di telecomunicazioni ed energetiche in vari paesi.
Il metodo di attacco di MuddyWater
Principalmente tramitephishing mirate (allegati o link dannosi), account di terze parti compromessi o sfruttamento di vulnerabilità note nei prodotti Microsoft Exchange e Office.
MuddyWater abusa dei meccanismi di controllo dell'account utente (UAC) ed esegue tecniche di side-loading delle DLL per ottenere un accesso privilegiato.
Implementa metodi di offuscamento tra cui la codifica Base64, la steganografia e l'uso di strumenti legittimi (LOLBins) come CMSTP, Mshta e Rundll32.
Utilizza strumenti di dumping delle credenziali come Mimikatz, LaZagne e Browser64 per estrarre le credenziali dalla memoria LSASS, dai browser web, dai client di posta elettronica e dalle credenziali di dominio memorizzate nella cache.
Utilizza script e malware personalizzati malware l'enumerazione degli account, la scansione di file e directory e l'individuazione di software, compresi i prodotti di sicurezza.
Utilizza soluzioni di accesso remoto legittime come Remote Utilities, SimpleHelp, Atera Agent e ScreenConnect per muoversi lateralmente all'interno delle reti compromesse.
La cattura di screenshot e l'archiviazione programmata dei dati utilizzando utilità native (makecab.exe) sono pratiche standard.
Distribuisce payload eseguiti tramite PowerShell, Windows Command Shell, VBScript, Python, JavaScript e sfruttando strumenti di accesso remoto.
Esfiltra i dati tramite canali di comando e controllo (C2) utilizzando comunicazioni crittografate e offuscate su protocolli HTTP/DNS.
L'obiettivo principale è lo spionaggio informatico finalizzato al furto di informazioni sensibili, strategiche e riservate piuttosto che attacchi distruttivi.
Principalmente tramitephishing mirate (allegati o link dannosi), account di terze parti compromessi o sfruttamento di vulnerabilità note nei prodotti Microsoft Exchange e Office.
MuddyWater abusa dei meccanismi di controllo dell'account utente (UAC) ed esegue tecniche di side-loading delle DLL per ottenere un accesso privilegiato.
Implementa metodi di offuscamento tra cui la codifica Base64, la steganografia e l'uso di strumenti legittimi (LOLBins) come CMSTP, Mshta e Rundll32.
Utilizza strumenti di dumping delle credenziali come Mimikatz, LaZagne e Browser64 per estrarre le credenziali dalla memoria LSASS, dai browser web, dai client di posta elettronica e dalle credenziali di dominio memorizzate nella cache.
Utilizza script e malware personalizzati malware l'enumerazione degli account, la scansione di file e directory e l'individuazione di software, compresi i prodotti di sicurezza.
Utilizza soluzioni di accesso remoto legittime come Remote Utilities, SimpleHelp, Atera Agent e ScreenConnect per muoversi lateralmente all'interno delle reti compromesse.
La cattura di screenshot e l'archiviazione programmata dei dati utilizzando utilità native (makecab.exe) sono pratiche standard.
Distribuisce payload eseguiti tramite PowerShell, Windows Command Shell, VBScript, Python, JavaScript e sfruttando strumenti di accesso remoto.
Esfiltra i dati tramite canali di comando e controllo (C2) utilizzando comunicazioni crittografate e offuscate su protocolli HTTP/DNS.
L'obiettivo principale è lo spionaggio informatico finalizzato al furto di informazioni sensibili, strategiche e riservate piuttosto che attacchi distruttivi.
TTP utilizzati da MuddyWater
Come rilevare MuddyWater con Vectra AI
Elenco delle rilevazioni disponibili nella Vectra AI che potrebbero indicare un attacco APT.
Domande frequenti
Chi c'è dietro MuddyWater?
MuddyWater è attribuito al Ministero dell'Intelligence e della Sicurezza iraniano (MOIS).
Quali sono i principali vettori di attacco di MuddyWater?
Utilizzanophishing con allegati e link dannosi e sfruttano le vulnerabilità pubbliche.
In che modo MuddyWater elude le difese?
Utilizzano vari metodi di offuscamento, strumenti legittimi, steganografia e caricamento laterale di DLL.
Quali malware sono associati a MuddyWater?
POWERSTATS, NTSTATS, CloudSTATS, PowGoop, Blackwater, ForeLord, MoriAgent e altri.
Quali settori industriali sono nel mirino di MuddyWater?
Telecomunicazioni, difesa, mondo accademico, petrolio e gas, sanità, tecnologia, ONG ed enti governativi.
Quali strumenti possono rilevare le attività di MuddyWater?
Le organizzazioni dovrebbero sfruttare soluzioni avanzate di rilevamento e risposta di rete (NDR) come Vectra AI.
Cosa possono fare le organizzazioni per difendersi dagli attacchi MuddyWater?
Le organizzazioni dovrebbero applicare tempestivamente le patch di sicurezza, sensibilizzare gli utenti sulphishing , applicare l'autenticazione a più fattori e monitorare attentamente il traffico di rete e l'attività degli utenti.
MuddyWater sfrutta le vulnerabilità?
Sì, sfruttano vulnerabilità come CVE-2020-0688 (Microsoft Exchange), CVE-2017-0199 (Office) e CVE-2020-1472 (Netlogon).
MuddyWater ha una portata globale?
Sì, sebbene sia attivo principalmente in Medio Oriente e Asia, MuddyWater prende di mira entità in tutto il mondo, compresi Nord America ed Europa.
Come può un'organizzazione rilevare il movimento laterale di MuddyWater?
Le organizzazioni possono rilevare efficacemente i movimenti laterali associati a MuddyWater utilizzando soluzioni avanzate di rilevamento e risposta di rete (NDR) come Vectra AI. Vectra AI l'intelligenza artificiale e algoritmi di apprendimento automatico per monitorare continuamente il traffico di rete, identificando rapidamente comportamenti anomali come l'uso non autorizzato di strumenti di accesso remoto, connessioni interne sospette e modelli di utilizzo delle credenziali inaspettati. Fornendo visibilità in tempo reale e avvisi di minaccia prioritari, Vectra AI ai team di sicurezza di identificare e contenere rapidamente le minacce poste da MuddyWater prima che si verifichino danni significativi.