MuddyWater tarnt Spionageangriff als Chaos-Ransomware

Zusammenfassung

Die iranische Hackergruppe MuddyWater hat nach Erkenntnissen der Sicherheitsforscher von Rapid7 eine Cyberspionage-Operation als Chaos-Ransomware-Angriff getarnt. Obwohl der Vorfall alle Merkmale eines klassischen Erpressungsangriffs aufwies – Diebstahl von Zugangsdaten, Persistenz, Fernzugriff, Datenabfluss, Erpressungs-E-Mails und sogar einen Eintrag auf dem Leak-Portal von Chaos –, verwendeten die Angreifer Infrastruktur und Techniken, die mit MuddyWater in Verbindung stehen. Rapid7 geht davon aus, dass die Ransomware-Komponente vor allem dazu diente, die eigentliche Spionageabsicht zu verschleiern und die Zuordnung zu erschweren. Der Zugang gelang den Angreifern über Social Engineering via Microsoft Teams: Sie nahmen Chats mit Mitarbeitern auf, richteten Bildschirmfreigaben ein und griffen Zugangsdaten ab. MuddyWater ist eine iranische, staatlich gesteuerte Spionagegruppe, die auch unter den Namen Static Kitten, Mango Sandstorm und Seedworm bekannt ist und deren Aktivitäten sich mit dem iranischen Ministerium für Nachrichtenwesen und Sicherheit (MOIS) decken. Rapid7 ordnet den Vorfall mit mittlerer Zuversicht dieser Gruppe zu – ein Hinweis darauf, dass finanzieller Gewinn nicht das primäre Ziel war.

Rapid7 stützt die Zuordnung zu MuddyWater auf mehrere Indizien: Überschneidungen in der Infrastruktur, ein bestimmtes Code-Signing-Zertifikat, mit dem die Gruppe die ihr zugeschriebene Schadsoftware Stagecomp und Darkcomp signierte, sowie weitere operative Vorgehensweisen. Die Forscher äußern sich mit mittlerer Zuversicht. Entscheidend sei dabei weniger das, was die Angreifer taten, als das, was sie unterließen: „Die Strategie verdeutlicht die Verschmelzung von staatlich gesteuerter Eindringaktivität und kriminellem Handwerk, wobei ein deutliches Erkennungsmerkmal in den eingesetzten – und den nicht eingesetzten – Techniken liegt. Dieses Vorgehen legt nahe, dass das primäre Ziel nicht finanzieller Gewinn war“, erklärt Rapid7.

Der Einstieg erfolgte über Microsoft Teams. Die Angreifer begannen Chats mit Beschäftigten, bauten Bildschirmfreigaben auf, sammelten Zugangsdaten ein, manipulierten die Einstellungen der Mehr-Faktor-Authentifizierung (MFA) und brachten in einigen Fällen AnyDesk für den Fernzugriff aus. Die Zugangsdaten erbeuteten sie entweder über Phishing-Seiten, die sich als Microsoft Quick Assist ausgaben, oder indem sie Opfer dazu brachten, ihre Passwörter in lokale Textdateien einzutippen.

Nach der Übernahme der Konten meldeten sich die Angreifer an internen Systemen an, darunter ein Domänencontroller, und sicherten ihren Zugang über RDP, DWAgent und AnyDesk ab. Anschließend nutzten sie einen Malware-Loader (ms_upd.exe), um eine maßgeschneiderte Backdoor (Game.exe) abzulegen, die als Microsoft-WebView2-Anwendung getarnt war. Die Schadsoftware verfügt über Mechanismen gegen Analyse und virtuelle Maschinen und unterstützt zwölf Befehle, darunter die Ausführung von PowerShell- und CMD-Kommandos, das Hochladen und Löschen von Dateien sowie dauerhaften Shell-Zugriff.

Chaos ist eine Ransomware-as-a-Service-Operation, die 2025 in Erscheinung trat und für Angriffe auf lohnende Ziele, doppelte Erpressung und Social-Engineering-Kampagnen bekannt ist, die sich überwiegend gegen Organisationen in den USA richten. MuddyWater hingegen ist für langfristige Netzwerkeinbrüche bekannt, die mit den Interessen des MOIS übereinstimmen.

Laut Rapid7 hat MuddyWater bereits in der Vergangenheit Ransomware genutzt, um Spionageoperationen zu verschleiern. So setzte die Gruppe kürzlich Qilin-Ransomware bei einem Angriff auf eine israelische Organisation ein. Die Forscher vermuten, dass die Gruppe nach der Zuordnung jenes Vorfalls zu MOIS-Mitarbeitern auf eine andere Ransomware-Marke gewechselt sein könnte.

MuddyWater tarnt Spionageangriff als Chaos-Ransomware

Ähnliche Artikel

Neueste Artikel