Kể từ đầu năm 2025, các nhà phân tích an ninh mạng đã chứng kiến sự phát triển đáng kể trong chiến thuật và công cụ của MuddyWater, nhóm mối đe dọa mạng (APT) được chính phủ Iran bảo trợ.

Vốn được biết đến với các chiến dịch RMM (Remote Monitoring and Management) quy mô lớn, MuddyWater đã chuyển trọng tâm sang các hoạt động lừa đảo có mục tiêu cao (spearphishing) và sử dụng các backdoor tùy chỉnh. Sự thay đổi này cho thấy mức độ tinh vi ngày càng tăng của nhóm và ý định né tránh phát hiện bằng cách kết hợp mã độc tùy chỉnh với các dịch vụ hạ tầng phổ biến.

Sự Phát Triển Trong Chiến Thuật và Công Cụ của MuddyWater

Trong năm 2024, MuddyWater đã dựa vào các nền tảng RMM thương mại được phân phối qua email lừa đảo hàng loạt, tận dụng các dịch vụ chia sẻ tệp để lưu trữ trình cài đặt.

Tuy nhiên, kể từ tháng 1 năm 2025, các chiến dịch cơ hội này đã giảm đáng kể. Thay vào đó, nhóm đã tập trung vào việc tạo ra các backdoor tối giản nhưng mạnh mẽ như Phoenix và StealthCache, cùng với các implant dựa trên PowerShell.

Sự chuyển đổi này giúp MuddyWater có quyền kiểm soát chi tiết hơn đối với các máy chủ bị xâm nhập, đồng thời giảm sự phụ thuộc vào các phần mềm của bên thứ ba.

Phân Tích Backdoor Phoenix

Phoenix hoạt động bằng cách giải mã một payload PE được nhúng sử dụng thuật toán XOR đơn giản. Sau đó, nó ánh xạ payload này vào bộ nhớ và bắt đầu giao tiếp HTTP định kỳ với máy chủ C2 thông qua các endpoint /register, /imalive và /request.

Cơ Chế Hoạt Động của StealthCache

StealthCache được phân phối thông qua loader Fooder. Nó sử dụng các yêu cầu HTTPS đến các endpoint /aq36 và /rq13 để truy xuất lệnh và trích xuất nhật ký.

Backdoor này tận dụng các luồng dữ liệu thay thế (alternate data streams) để tự xóa và tránh các dấu vết pháp y.

Tham khảo thêm về cách mã độc khai thác PowerShell để phân phối payload tại GBHackers.

Vector Lây Nhiễm và Kỹ Thuật Né Tránh Phát Hiện trong Các Cuộc Tấn Công Mạng

Mặc dù sử dụng các công cụ tùy chỉnh, spearphishing với các tài liệu Office độc hại vẫn giữ vai trò là vector lây nhiễm chính.

Mã độc giải mã một tệp PE được nhúng bằng thuật toán XOR đơn giản, ánh xạ nó vào bộ nhớ tiến trình của chính nó và chuyển quyền thực thi đến điểm nhập của nó.

Các sự cố gần đây cho thấy các tệp đính kèm nhúng macro thả payload vào các thư mục công cộng trước khi gọi các loader DLL được side-load.

Các nhà phân tích đã ghi nhận nhiều tài liệu độc hại – có dấu thời gian giống hệt nhau vào ngày 25 tháng 7 năm 2024 – liên quan đến implant Phoenix thông qua tên mutex chung và so sánh hash payload.

Những tài liệu này mạo danh các bản trình bày hoặc thông báo hợp pháp, khai thác niềm tin của người dùng bằng cách giả mạo các tổ chức chính phủ và công nghiệp.

Việc duy trì tính nhất quán trong phương thức phân phối giúp MuddyWater đảm bảo độ chính xác mục tiêu cao, đồng thời giảm thiểu khả năng bị phát hiện trong giai đoạn xâm nhập ban đầu. Thông tin chi tiết hơn về cơ sở hạ tầng và mã độc của nhóm có thể tìm thấy tại Group-IB blog.

Hạ Tầng và C2 của MuddyWater

Hạ tầng của MuddyWater phản ánh sự kết hợp có chủ ý giữa các nhà cung cấp đám mây phổ biến và các máy chủ bulletproof.

Amazon Web Services vẫn là nền tảng chính để lưu trữ các tài sản có vẻ lành tính. Trong khi đó, CDN và các biện pháp bảo vệ DDoS của Cloudflare che giấu các máy chủ gốc và cản trở việc phân tích lưu lượng truy cập.

Bổ sung cho những điều này là các nhà cung cấp thương mại như M247, DigitalOcean, OVH và các dịch vụ bulletproof mạnh mẽ như Stark Industries. Tham khảo thêm về bulletproof hosting tại GBHackers.

Việc đăng ký tên miền chủ yếu diễn ra thông qua Namecheap, sử dụng chứng chỉ Let’s Encrypt và Google Trust để tạo vẻ hợp pháp.

Phân Tích Tên Miền và C2

Phân tích DNS thụ động của netivtech[.]org, một tên miền C2 đã biết, cho thấy sự chuyển đổi IP nhanh chóng giữa SEDO GmbH và Cloudflare. Điều này minh họa thực tiễn sử dụng hạ tầng có vòng đời ngắn của nhóm.

Phát Hiện C2 Mới Qua HTTP Banners

Các nhà phân tích tận dụng các chuỗi duy nhất trong HTTP banners – Werkzeug cho StealthCache và Uvicorn cho Phoenix – để xoay vòng trên các công nghệ backend được chia sẻ. Kỹ thuật này giúp khám phá các endpoint độc hại mới trước khi chúng bị gỡ bỏ.

IOCs (Indicators of Compromise)

• Tên miền C2:netivtech[.]org

Khuyến Nghị Phòng Ngừa và Đối Phó Với Mối Đe Dọa Mạng

Chiến thuật thích ứng của MuddyWater, kết hợp phát triển mã độc tùy chỉnh với việc sử dụng cơ hội các dự án mã nguồn mở và dịch vụ thương mại, báo hiệu một tác nhân APT đang trưởng thành, có khả năng thực hiện gián điệp và phá hoại chính xác.

Các đội ngũ an ninh đối mặt với các chiến dịch APT đang phát triển cần áp dụng các biện pháp săn tìm chủ động. Bao gồm phát hiện spearphishing, chính sách chặn macro và xoay vòng hạ tầng dựa trên chứng chỉ.

Khi MuddyWater tinh chỉnh các payload đa giai đoạn và phương pháp che giấu của mình, sự hợp tác giữa các cộng đồng tình báo mối đe dọa (threat intelligence) và ứng phó sự cố (incident response) vẫn là điều cần thiết để giảm thiểu các cuộc tấn công mạng trong tương lai.