MuddyWater
MuddyWater ist eine vom iranischen Staat unterstützte Cyberspionagegruppe, die Verbindungen zum Ministerium für Nachrichtendienst und Sicherheit (MOIS) unterhält und weltweit Informationen sammelt, indem siephishing, die Ausnutzung von Sicherheitslücken sowie eine immer ausgefeiltere, maßgeschneiderte Command-and-Control-Infrastruktur einsetzt.
Der Ursprung von MuddyWater
MuddyWater, das auch unter den Namen STATIC KITTEN, Earth Vetala, Seedworm, TA450, MERCURY und Mango Sandstorm bekannt ist, ist eine Cyberspionagegruppe, die vermutlich im Auftrag des iranischen Ministeriums für Nachrichtendienst und Sicherheit (MOIS) operiert. Die Gruppe ist seit mindestens 2017 aktiv und führt weltweit Operationen zur Informationsbeschaffung gegen Organisationen aus den Bereichen Regierung, Wissenschaft, Verteidigung, Telekommunikation und Energie durch.
Jüngste Untersuchungen im Jahr 2026 deckten eine operative Infrastruktur von MuddyWater auf, die auf einem in den Niederlanden gehosteten VPS betrieben wurde und umfangreiche operative Artefakte offenlegte, darunter Command-and-Control-Frameworks (C2), Skripte, Opferdaten und Betriebsprotokolle. Die Analyse dieser Infrastruktur bestätigte, dass MuddyWater mehrere intern entwickelte C2-Frameworks einsetzt und ein breites Spektrum an Open-Source-Tools nutzt, um Aufklärungs-, Ausnutzungs- und Datenexfiltrationsoperationen zu unterstützen.
Die Gruppe verfolgt einen hybriden Vorgehensweise: Sie kombiniert eigens entwickelte malware , öffentlich zugänglichen Exploit-Code und legitime Administrationstools, um sich den Zugriff zu sichern und einer Entdeckung zu entgehen. Jüngste Kampagnen zeigen zudem, dass mit Blockchain-basierten Command-and-Control-Mechanismen experimentiert wird, was die sich weiterentwickelnden technischen Fähigkeiten von MuddyWater verdeutlicht.
Zielländer
Die Kampagnen von MuddyWater erstrecken sich über mehrere Regionen , darunter den Nahen Osten, Europa, Nordamerika und Zentralasien. Zuletzt richteten sich die Aktivitäten gegen Organisationen in Israel, Jordanien, Ägypten, den Vereinigten Arabischen Emiraten, Portugal und den Vereinigten Staaten, während in der Vergangenheit bereits Operationen gegen Einrichtungen in der Türkei, im Irak, in Pakistan, in Saudi-Arabien, in Deutschland, in Indien, in Afghanistan und in Armenien durchgeführt wurden.
Zielgerichtete Industrien
MuddyWater hat es auf Organisationen in zahlreichen Branchen abgesehen, darunter Behörden, Telekommunikation, Verteidigung, akademische Einrichtungen, Luftfahrt, Gesundheitswesen, Energie, Finanzdienstleistungen, Nichtregierungsorganisationen und Technologieunternehmen. Die Gruppe nimmt zudem kritische Infrastrukturen sowie Organisationen ins Visier, die in den Bereichen Einwanderung, Nachrichtendienste und Identitätssysteme tätig sind, was auf einen starken Fokus auf die Informationsbeschaffung hindeutet.
Bekannte Opfer
Bei den jüngsten Operationen wurden unter anderem folgende Ziele identifiziert:
- Israelische Gesundheitsorganisationen, Hosting-Anbieter und Dienstleister im Bereich Einwanderung
- Webmail-Infrastruktur der jordanischen Regierung
- Ingenieur- und Energieunternehmen aus den Vereinigten Arabischen Emiraten
- Ägyptische Luftfahrtunternehmen, darunter EgyptAir
- Nichtregierungsorganisationen mit Verbindungen zu israelischen und jüdischen Gemeinschaften
- Ein von der portugiesischen Regierung betriebenes Einwanderungssystem
Die Zielauswahl steht in engem Einklang mit den Prioritäten des iranischen Geheimdienstes, darunter geopolitische, diplomatische und regionale strategische Interessen.
MuddyWater's Angriffsmethode
MuddyWater verschafft sich Zugang über phishing , die Ausnutzung öffentlich zugänglicher Anwendungen, Passwort-Spraying und die Ausnutzung von Sicherheitslücken. Bei jüngsten Kampagnen wurden Sicherheitslücken in Fortinet, Ivanti, Citrix, BeyondTrust und SolarWinds N-Central sowie SQL-Injection-Schwachstellen in Webanwendungen ausgenutzt.
Die Gruppe erweitert häufig ihre Zugriffsrechte durch Techniken wie die Umgehung der Benutzerkontensteuerung (UAC), die Ausnutzung von Schwachstellen in Edge-Geräten und die Einrichtung von Administratorkonten, einschließlich der Einrichtung persistenter FortiGate-Administratorkonten während der Exploitation.
Zu den Maßnahmen zur Umgehung von Abwehrmechanismen gehören Code-Verschleierung, verschlüsselte Nutzdaten, Steganografie und die Tarnung als legitime Dienste. MuddyWater verbirgt seine C2-Infrastruktur zudem hinter kompromittierten Websites, Proxy-Netzwerken und dezentralen Infrastrukturen wie beispielsweise einer Blockchain-basierten C2-Auflösung.
Der Diebstahl von Anmeldedaten erfolgt mithilfe von Tools wie Mimikatz, LaZagne und Browser64 sowie durch Passwort-Spraying-Angriffe, die auf Outlook Web Access und SMTP-Dienste abzielen.
Malware von MuddyWater Malware erfasst Systeminformationen, die Zugehörigkeit zu Domänen, laufende Prozesse, das Vorhandensein von Sicherheitssoftware sowie die Netzwerkkonfiguration, um die Umgebung des Opfers zu erfassen.
Die Gruppe nutzt in der Regel Tools zur Fernüberwachung und -verwaltung (RMM) wie ScreenConnect, Atera Agent, SimpleHelp und Remote Utilities, um sich innerhalb kompromittierter Umgebungen seitlich auszubreiten.
Von kompromittierten Systemen werden sensible Informationen erfasst, darunter Dokumente, Datenbanken mit Anmeldedaten, Screenshots und lokal gespeicherte Dateien. Bei den jüngsten Angriffen umfassten die Daten unter anderem Scans von Reisepässen, Visumunterlagen, Finanzdokumente und Konfigurationen biometrischer Systeme.
Die Ausführung der Schadcode-Lade wird in der Regel über PowerShell-, Windows-Befehlszeilen-, JavaScript-, Python- und Visual Basic-Skripte erfolgen, die häufig über legitime Systemdienstprogramme wie mshta, rundll32 oder CMSTP ausgeführt werden.
Datenentwendung erfolgt über verschiedene Mechanismen, darunter:
- Benutzerdefinierte C2-Kanäle
- Cloud plattformen wie Wasabi S3 und put.io
- Amazon EC2-Server
- Leichte HTTP-Dateiserver
- Befehls- und Kontrollkanäle über HTTP, DNS und WebSockets
Die Aktivitäten von MuddyWater konzentrieren sich in erster Linie auf die verdeckte Informationsbeschaffung, wobei die gestohlenen Daten unter anderem Regierungskommunikation, persönliche Ausweisdokumente, Organisationsunterlagen und interne Kommunikation umfassen.
MuddyWater verschafft sich Zugang über phishing , die Ausnutzung öffentlich zugänglicher Anwendungen, Passwort-Spraying und die Ausnutzung von Sicherheitslücken. Bei jüngsten Kampagnen wurden Sicherheitslücken in Fortinet, Ivanti, Citrix, BeyondTrust und SolarWinds N-Central sowie SQL-Injection-Schwachstellen in Webanwendungen ausgenutzt.
Die Gruppe erweitert häufig ihre Zugriffsrechte durch Techniken wie die Umgehung der Benutzerkontensteuerung (UAC), die Ausnutzung von Schwachstellen in Edge-Geräten und die Einrichtung von Administratorkonten, einschließlich der Einrichtung persistenter FortiGate-Administratorkonten während der Exploitation.
Zu den Maßnahmen zur Umgehung von Abwehrmechanismen gehören Code-Verschleierung, verschlüsselte Nutzdaten, Steganografie und die Tarnung als legitime Dienste. MuddyWater verbirgt seine C2-Infrastruktur zudem hinter kompromittierten Websites, Proxy-Netzwerken und dezentralen Infrastrukturen wie beispielsweise einer Blockchain-basierten C2-Auflösung.
Der Diebstahl von Anmeldedaten erfolgt mithilfe von Tools wie Mimikatz, LaZagne und Browser64 sowie durch Passwort-Spraying-Angriffe, die auf Outlook Web Access und SMTP-Dienste abzielen.
Malware von MuddyWater Malware erfasst Systeminformationen, die Zugehörigkeit zu Domänen, laufende Prozesse, das Vorhandensein von Sicherheitssoftware sowie die Netzwerkkonfiguration, um die Umgebung des Opfers zu erfassen.
Die Gruppe nutzt in der Regel Tools zur Fernüberwachung und -verwaltung (RMM) wie ScreenConnect, Atera Agent, SimpleHelp und Remote Utilities, um sich innerhalb kompromittierter Umgebungen seitlich auszubreiten.
Von kompromittierten Systemen werden sensible Informationen erfasst, darunter Dokumente, Datenbanken mit Anmeldedaten, Screenshots und lokal gespeicherte Dateien. Bei den jüngsten Angriffen umfassten die Daten unter anderem Scans von Reisepässen, Visumunterlagen, Finanzdokumente und Konfigurationen biometrischer Systeme.
Die Ausführung der Schadcode-Lade wird in der Regel über PowerShell-, Windows-Befehlszeilen-, JavaScript-, Python- und Visual Basic-Skripte erfolgen, die häufig über legitime Systemdienstprogramme wie mshta, rundll32 oder CMSTP ausgeführt werden.
Datenentwendung erfolgt über verschiedene Mechanismen, darunter:
- Benutzerdefinierte C2-Kanäle
- Cloud plattformen wie Wasabi S3 und put.io
- Amazon EC2-Server
- Leichte HTTP-Dateiserver
- Befehls- und Kontrollkanäle über HTTP, DNS und WebSockets
Die Aktivitäten von MuddyWater konzentrieren sich in erster Linie auf die verdeckte Informationsbeschaffung, wobei die gestohlenen Daten unter anderem Regierungskommunikation, persönliche Ausweisdokumente, Organisationsunterlagen und interne Kommunikation umfassen.
Von MuddyWater verwendete TTPs
Wie man mit Vectra AI AI Schlammwasser erkennt
Liste der in der Vectra AI verfügbaren Erkennungen, die auf einen APT-Angriff hindeuten würden.
Häufig gestellte Fragen
Wer steckt hinter MuddyWater?
MuddyWater wird dem iranischen Ministerium für Nachrichtenwesen und Sicherheit (MOIS) zugeschrieben.
Was sind die wichtigsten Angriffsvektoren von MuddyWater?
Sie verwenden phishing mit bösartigen Anhängen und Links und nutzen öffentlich zugängliche Sicherheitslücken aus.
Wie entgeht MuddyWater der Verteidigung?
Sie verwenden verschiedene Verschleierungsmethoden, legitime Tools, Steganografie und DLL-Side-Loading.
Welche malware sind mit MuddyWater verbunden?
POWERSTATS, NTSTATS, CloudSTATS, PowGoop, Blackwater, ForeLord, MoriAgent, und andere.
Auf welche Branchen ist MuddyWater ausgerichtet?
Telekommunikation, Verteidigung, Hochschulen, Öl und Gas, Gesundheitswesen, Technologie, Nichtregierungsorganisationen und Regierungsbehörden.
Welche Tools können die Aktivitäten von MuddyWater aufdecken?
Unternehmen sollten fortschrittliche Network Detection and Response (NDR)-Lösungen wie Vectra AI nutzen .
Was können Unternehmen tun, um sich gegen MuddyWater-Angriffe zu schützen?
Unternehmen sollten umgehend Sicherheits-Patches installieren, die Benutzer über phishing aufklären, eine mehrstufige Authentifizierung durchsetzen und den Netzwerkverkehr und die Benutzeraktivitäten genau überwachen.
Nutzt MuddyWater Schwachstellen aus?
Ja, sie nutzen Schwachstellen wie CVE-2020-0688 (Microsoft Exchange), CVE-2017-0199 (Office) und CVE-2020-1472 (Netlogon) aus.
Hat MuddyWater eine globale Reichweite?
Ja, MuddyWater ist zwar in erster Linie im Nahen Osten und in Asien tätig, zielt aber auf Unternehmen in der ganzen Welt, einschließlich Nordamerika und Europa.
Wie kann ein Unternehmen die Seitwärtsbewegung von MuddyWater erkennen?
Unternehmen können durch den Einsatz fortschrittlicher Network Detection and Response (NDR)-Lösungen wie Vectra AI die mit MuddyWater verbundenen Seitwärtsbewegungen effektiv erkennen. Vectra AI. Vectra AI nutzt künstliche Intelligenz und Algorithmen des maschinellen Lernens, um den Netzwerkverkehr kontinuierlich zu überwachen und anormale Verhaltensweisen wie die unerlaubte Nutzung von Fernzugriffstools, verdächtige interne Verbindungen und unerwartete Muster bei der Nutzung von Anmeldeinformationen schnell zu erkennen. Durch die Bereitstellung von Echtzeit-Transparenz und priorisierten Bedrohungswarnungen versetzt Vectra AI AI Sicherheitsteams in die Lage, Bedrohungen durch MuddyWater schnell zu erkennen und einzudämmen, bevor größerer Schaden entsteht.