Naime, istraživači sajber bezbjednosti otkrili su novu kampanju iranske hakerske grupe MuddyWater, koja je ciljala navedene institucije.

Prema izveštaju kompanije Group-IB, napadi su započeli polovinom avgusta, kada su hakeri pomoću kompromitovanog naloga na servisu NordVPN slali fišing mejlove državnim organima.

Samo nekoliko dana kasnije, komandno-kontrolni server (C2) je ugašen, što ukazuje na prelazak u drugu fazu operacije.

U središtu napada nalazi se malver Phoenix Backdoor v4, skriven u Word dokumentima sa makro kodom, koji se aktivira nakon što korisnik otvori fajl. Jednom instaliran, malver prikuplja informacije o sistemu, uključujući ime računara, domen, verziju Windowsa i korisničko ime i omogućava napadačima potpunu daljinsku kontrolu nad zaraženim uređajem.

Osim toga, otkriven je i alat za krađu podataka iz veb pregledača kao što su Chrome, Edge, Opera i Brave, uključujući lozinke i pristupne ključeve.

Istraživači navode da se u ovom slučaju koriste poznate taktike i alati karakteristični za MuddyWater, koji već godinama deluje pod pokroviteljstvom iranske vlade, prenosi b.92.