Den ersten Zugang erreichten die Angreifer laut Rapid7 über Microsoft Teams. Sie kontaktierten Mitarbeiter der betroffenen Organisation und richteten Bildschirmfreigabe-Sitzungen ein, um auf die Geräte der Nutzer zuzugreifen. Auf diesem Weg stahlen sie Zugangsdaten, umgingen den Schutz durch Mehr-Faktor-Authentifizierung und übernahmen Konten.

„Während der Verbindung führte der Angreifer grundlegende Erkundungsbefehle aus, griff auf Dateien zur VPN-Konfiguration des Opfers zu und wies die Nutzer an, ihre Zugangsdaten in lokal erstellte Textdateien einzutragen. In mindestens einem Fall setzte der Angreifer zudem das Fernwartungswerkzeug AnyDesk ein, um den Zugriff weiter auszubauen“, berichtet Rapid7.

Anschließend sicherten sich die Täter dauerhaften Zugang über RDP-Sitzungen und das Fernzugriffswerkzeug DWAgent. Darüber spielten sie weitere Schadsoftware ein, bewegten sich seitlich durch die Umgebung und schleusten gesammelte Informationen aus.

Erst danach folgte die Erpressung: Die Angreifer schrieben mehrere Nutzer an, behaupteten, Daten gestohlen zu haben, und drohten mit deren Veröffentlichung, sollte kein Lösegeld gezahlt werden. Das Opfer wurde auf die Leak-Seite der Chaos-Ransomware geleitet. Eine weitere E-Mail forderte die Empfänger auf, eine „Notiz“ mit Zugangsdaten für einen gesicherten Chat zu suchen, um die Verhandlungen fortzusetzen – diese Notiz wurde jedoch nie gefunden, und die gestohlenen Daten landeten online.

Nach Einschätzung von Rapid7 dienten die Erpressungs- und Verhandlungselemente vermutlich dazu, die Verteidiger auf die unmittelbare Wirkung zu fixieren und so die Entdeckung der eigentlichen Persistenzmechanismen über Fernzugriffswerkzeuge wie DWAgent oder AnyDesk zu verzögern.

Für die Zuordnung spricht aus Sicht der Forscher mehreres: Die im Angriff genutzte Infrastruktur war bereits zuvor mit MuddyWater in Verbindung gebracht worden – einer Gruppe, die auch als Mango Sandstorm, Mercury, Seedworm und Static Kitten bekannt ist. Im Rahmen des Angriffs setzten die Täter zudem einen eigens entwickelten Remote-Access-Trojaner namens Darkcomp (Game.exe) ein, der Befehlsausführung, Dateimanipulation und dauerhafte Shell-Ausführung unterstützt.

Diese Hintertür ist mit einem Zertifikat signiert, das früheren MuddyWater-Operationen zugeordnet wird, und nutzt eine Command-and-Control-Domain, die ebenfalls mit der iranischen Gruppe in Verbindung steht. Auch die Social-Engineering-Taktik und der Ablauf der Schadsoftware decken sich mit zuvor beobachteten Aktivitäten der Gruppe.

„Das Zusammentreffen technischer und kontextueller Hinweise ist mit einer Zuordnung zu MuddyWater bei mittlerer Sicherheit vereinbar. Der beobachtete Einsatz der Chaos-Ransomware deutet nicht auf eine Verschiebung der Ziele der Gruppe hin, sondern spiegelt ein konsequentes Bemühen wider, die operative Absicht zu verschleiern und die Zuordnung zu erschweren“, so Rapid7.