MuddyWater
MuddyWater ist eine mit dem Iran verbundene Cyberspionagegruppe, die seit mindestens 2017 aktiv ist und dafür bekannt ist, durch ausgeklügelte phishing und Exploitation-Techniken weltweit Regierungen, Telekommunikations-, Verteidigungs- und Energiesektoren anzugreifen.
Der Ursprung von MuddyWater
MuddyWater, auch bekannt als STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm und TEMP.Zagros, ist eine APT-Gruppe (Advanced Persistent Threat), die als Teil des iranischen Ministeriums für Nachrichtenwesen und Sicherheit (MOIS) identifiziert wurde. MuddyWater ist seit mindestens 2017 aktiv und hat sich auf Cyberspionage-Operationen spezialisiert, wobei sie für ihre Kampagnen eine Vielzahl ausgefeilter Techniken und maßgeschneiderter malware einsetzt. Die Gruppe ist besonders anpassungsfähig und entwickelt ständig neue Taktiken und malware , um der Erkennung und Abwehr zu entgehen.
Zielländer
Die Opfer von MuddyWater sind auf der ganzen Welt zu finden, insbesondere im Nahen Osten, in Eurasien und Zentralasien, wobei die Türkei, Tadschikistan, die Niederlande, Aserbaidschan, Armenien, Pakistan, Irak, Oman, Saudi-Arabien, die Vereinigten Arabischen Emirate, Syrien, Afghanistan, Indien, Jordanien, Israel, Palästina, Turkmenistan, Georgien, Malta, Deutschland und die Vereinigten Staaten im Mittelpunkt stehen. Diese geografische Vielfalt ist ein Beweis für ihre umfangreichen internationalen Spionagekampagnen.
Zielgerichtete Industrien
MuddyWater hat Operationen gegen verschiedene Sektoren durchgeführt, darunter Regierungsstellen, militärische Organisationen, Telekommunikation, Hochschulen, Öl und Gas, Luftfahrt, Gesundheitswesen, Nichtregierungsorganisationen, Technologie, Finanzdienstleistungen, Gastgewerbe, Landwirtschaft, Energie, Pharmazeutika, Immobilien, Luft- und Raumfahrt und lokale Regierungen. Die breit gefächerte Zielsetzung deutet auf ein strategisches Interesse an Sektoren hin, die für die nationale Infrastruktur und die Informationskontrolle von entscheidender Bedeutung sind.
Bekannte Opfer
Zu den bekannten spezifischen Angriffen gehören die jüngsten Kampagnen (2025) gegen mehrere akademische Einrichtungen in Israel, die ein anhaltendes Interesse an der politischen Dynamik im Nahen Osten widerspiegeln. Darüber hinaus wurden im Laufe der operativen Geschichte der Gruppe wiederholt Regierungs-, Verteidigungs-, Telekommunikations- und Energieorganisationen in verschiedenen Ländern angegriffen.
MuddyWater's Angriffsmethode
In erster Linie über gezielte phishing (Anhänge oder bösartige Links), kompromittierte Konten von Drittanbietern oder die Ausnutzung bekannter Sicherheitslücken in Microsoft Exchange- und Office-Produkten.
MuddyWater missbraucht die Mechanismen der Benutzerkontensteuerung (UAC) und führt DLL-Side-Loading-Techniken für erweiterten Zugriff aus.
Implementiert Verschleierungsmethoden wie Base64-Kodierung, Steganografie und die Verwendung von legitimen Tools (LOLBins) wie CMSTP, Mshta und Rundll32.
Verwendet Tools zum Auslesen von Anmeldedaten wie Mimikatz, LaZagne und Browser64, um Anmeldedaten aus dem LSASS-Speicher, Webbrowsern, E-Mail-Clients und zwischengespeicherten Domänen-Anmeldedaten zu extrahieren.
Verwendet Skripte und benutzerdefinierte malware für die Enumeration von Konten, das Scannen von Dateien und Verzeichnissen sowie die Erkennung von Software, einschließlich Sicherheitsprodukten.
Verwendet legitime Fernzugriffslösungen wie Remote Utilities, SimpleHelp, Atera Agent und ScreenConnect, um sich seitlich in kompromittierten Netzwerken zu bewegen.
Die Erfassung von Screenshots und die stufenweise Archivierung von Daten mit nativen Dienstprogrammen (makecab.exe) sind Standardverfahren.
Stellt Nutzlasten bereit, die über PowerShell, Windows Command Shell, VBScript, Python, JavaScript und die Nutzung von Fernzugriffstools ausgeführt werden.
Exfiltriert Daten über Command-and-Control-Kanäle (C2) unter Verwendung verschlüsselter und verschleierter Kommunikation über HTTP/DNS-Protokolle.
Primäres Ziel ist die Cyberspionage, die eher zum Diebstahl sensibler, strategischer und klassifizierter Informationen führt als zu störenden Angriffen.
In erster Linie über gezielte phishing (Anhänge oder bösartige Links), kompromittierte Konten von Drittanbietern oder die Ausnutzung bekannter Sicherheitslücken in Microsoft Exchange- und Office-Produkten.
MuddyWater missbraucht die Mechanismen der Benutzerkontensteuerung (UAC) und führt DLL-Side-Loading-Techniken für erweiterten Zugriff aus.
Implementiert Verschleierungsmethoden wie Base64-Kodierung, Steganografie und die Verwendung von legitimen Tools (LOLBins) wie CMSTP, Mshta und Rundll32.
Verwendet Tools zum Auslesen von Anmeldedaten wie Mimikatz, LaZagne und Browser64, um Anmeldedaten aus dem LSASS-Speicher, Webbrowsern, E-Mail-Clients und zwischengespeicherten Domänen-Anmeldedaten zu extrahieren.
Verwendet Skripte und benutzerdefinierte malware für die Enumeration von Konten, das Scannen von Dateien und Verzeichnissen sowie die Erkennung von Software, einschließlich Sicherheitsprodukten.
Verwendet legitime Fernzugriffslösungen wie Remote Utilities, SimpleHelp, Atera Agent und ScreenConnect, um sich seitlich in kompromittierten Netzwerken zu bewegen.
Die Erfassung von Screenshots und die stufenweise Archivierung von Daten mit nativen Dienstprogrammen (makecab.exe) sind Standardverfahren.
Stellt Nutzlasten bereit, die über PowerShell, Windows Command Shell, VBScript, Python, JavaScript und die Nutzung von Fernzugriffstools ausgeführt werden.
Exfiltriert Daten über Command-and-Control-Kanäle (C2) unter Verwendung verschlüsselter und verschleierter Kommunikation über HTTP/DNS-Protokolle.
Primäres Ziel ist die Cyberspionage, die eher zum Diebstahl sensibler, strategischer und klassifizierter Informationen führt als zu störenden Angriffen.
Von MuddyWater verwendete TTPs
Wie man mit Vectra AI AI Schlammwasser erkennt
Liste der in der Vectra AI verfügbaren Erkennungen, die auf einen APT-Angriff hindeuten würden.
Häufig gestellte Fragen
Wer steckt hinter MuddyWater?
MuddyWater wird dem iranischen Ministerium für Nachrichtenwesen und Sicherheit (MOIS) zugeschrieben.
Was sind die wichtigsten Angriffsvektoren von MuddyWater?
Sie verwenden phishing mit bösartigen Anhängen und Links und nutzen öffentlich zugängliche Sicherheitslücken aus.
Wie entgeht MuddyWater der Verteidigung?
Sie verwenden verschiedene Verschleierungsmethoden, legitime Tools, Steganografie und DLL-Side-Loading.
Welche malware sind mit MuddyWater verbunden?
POWERSTATS, NTSTATS, CloudSTATS, PowGoop, Blackwater, ForeLord, MoriAgent, und andere.
Auf welche Branchen ist MuddyWater ausgerichtet?
Telekommunikation, Verteidigung, Hochschulen, Öl und Gas, Gesundheitswesen, Technologie, Nichtregierungsorganisationen und Regierungsbehörden.
Welche Tools können die Aktivitäten von MuddyWater aufdecken?
Unternehmen sollten fortschrittliche Network Detection and Response (NDR)-Lösungen wie Vectra AI nutzen .
Was können Unternehmen tun, um sich gegen MuddyWater-Angriffe zu schützen?
Unternehmen sollten umgehend Sicherheits-Patches installieren, die Benutzer über phishing aufklären, eine mehrstufige Authentifizierung durchsetzen und den Netzwerkverkehr und die Benutzeraktivitäten genau überwachen.
Nutzt MuddyWater Schwachstellen aus?
Ja, sie nutzen Schwachstellen wie CVE-2020-0688 (Microsoft Exchange), CVE-2017-0199 (Office) und CVE-2020-1472 (Netlogon) aus.
Hat MuddyWater eine globale Reichweite?
Ja, MuddyWater ist zwar in erster Linie im Nahen Osten und in Asien tätig, zielt aber auf Unternehmen in der ganzen Welt, einschließlich Nordamerika und Europa.
Wie kann ein Unternehmen die Seitwärtsbewegung von MuddyWater erkennen?
Unternehmen können durch den Einsatz fortschrittlicher Network Detection and Response (NDR)-Lösungen wie Vectra AI die mit MuddyWater verbundenen Seitwärtsbewegungen effektiv erkennen. Vectra AI. Vectra AI nutzt künstliche Intelligenz und Algorithmen des maschinellen Lernens, um den Netzwerkverkehr kontinuierlich zu überwachen und anormale Verhaltensweisen wie die unerlaubte Nutzung von Fernzugriffstools, verdächtige interne Verbindungen und unerwartete Muster bei der Nutzung von Anmeldeinformationen schnell zu erkennen. Durch die Bereitstellung von Echtzeit-Transparenz und priorisierten Bedrohungswarnungen versetzt Vectra AI AI Sicherheitsteams in die Lage, Bedrohungen durch MuddyWater schnell zu erkennen und einzudämmen, bevor größerer Schaden entsteht.