Die Sicherheitsforensiker von Rapid7 haben eine komplexe Angriffskampagne analysiert, die von MuddyWater – offiziell vom US-Geheimdienst dem iranischen Ministerium für Geheimdienste und Sicherheit (MOIS) zugeordnet – durchgeführt wurde. Der Angriff verlief in mehreren Phasen und kombinierte Social Engineering, persistente Zugriffsmechanismen und Datenexfiltration.
Die Angreifer begannen mit Social Engineering über Microsoft Teams: Sie kontaktierten Mitarbeitende der Zielorganisation und etablierten Screen-Sharing-Sitzungen. Dadurch erlangten sie Zugriff auf Benutzerassets, konnten Anmeldedaten stehlen und Multi-Faktor-Authentifizierung (MFA) umgehen. Während der Sitzungen führten die Angreifer Basic-Discovery-Befehle aus, griffen auf VPN-Konfigurationsdateien zu und forderten Nutzer auf, ihre Passwörter in lokal erstellte Textdateien einzugeben.
Zur Erhöhung ihrer Kontrolle setzten die Angreifer die Remote-Access-Tools AnyDesk und DWAgent ein. Damit etablierten sie persistente RDP-Sitzungen, führten Lateral-Movement durch die Netzwerkumgebung durch und exfiltrierte gestohlen Daten. Parallel dazu schleuste die Gruppe einen benutzerdefinierten Remote-Access-Trojaner namens Darkcomp (Game.exe) ein, der Befehlsausführung, Dateiverwaltung und persistente Shell-Zugriffe unterstützt.
Die Täuschung perfektionierend: Die Angreifer versandten später Extortions-E-Mails, in denen sie behaupteten, Informationen gestohlen zu haben und Lösegeld forderten. Die Zielorganisation wurde auf der Leak-Site der Chaos-Ransomware-Gruppe aufgelistet – obwohl diese Malware niemals tatsächlich deployed wurde. Dies war ein sogenannter False Flag: Durch die Vorspiegelung eines Ransomware-Angriffs versuchten die Angreifer, Defensive-Maßnahmen zu lenken und ihre eigentliche Spionageaktivität zu verschleieren.
Rapid7 weist darauf hin, dass die verwendete Infrastruktur und die digitalen Artefakte (etwa ein mit MuddyWater-Zertifikaten signiertes Malware, sowie genutzter Command-and-Control-Domänen) mit hoher Konfidenz der iranischen Gruppe zugeordnet werden können. Die Taktiken entsprechen bekannten MuddyWater-Methoden, wobei die Gruppe auch unter den Namen Mango Sandstorm, Mercury, Seedworm und Static Kitten bekannt ist.
Für deutsche Unternehmen unterstreicht dieser Fall die Bedeutung von Employee-Training zu Social Engineering, starken MFA-Implementierungen und kontinuierlicher Netzwerk-Überwachung. Das BSI empfiehlt verstärkte Kontrollen von Remote-Access-Tools und regelmäßige Sicherheitsaudit.