MuddyWater стала заходить в компании через Microsoft Teams

Исследователи Rapid7 разобрали атаку, которая сначала выглядела как обычный инцидент с ransomware-группой Chaos. Но действия оказались похожи на операцию MuddyWater — группы, также известной как Mango Sandstorm, Seedworm и Static Kitten. Атакующие использовали Microsoft Teams как канал первичного контакта, убеждали сотрудников включать демонстрацию экрана, собирали учётные данные и меняли настройки многофакторной аутентификации.

Rapid7 пишет, что в расследованном случае оператор отказался от стандартной ransomware-логики с массовым шифрованием и сделал ставку на кражу данных, закрепление в сети и удалённый доступ через легальные инструменты вроде DWAgent и AnyDesk.

Escudo Digital описывает ту же схему как атаку через доверие к рабочим мессенджерам: сотруднику пишет «поддержка», создаёт ощущение срочной технической проблемы, просит установить или запустить инструмент удалённого доступа, а дальше ищет пароли, VPN-доступы, корпоративные токены, внутренние документы и почту.

Первый контакт происходил через Microsoft Teams. Атакующий писал сотрудникам из внешнего аккаунта и выдавал себя за техподдержку, системного администратора или специалиста по безопасности. Такой канал воспринимается иначе, чем письмо из неизвестного домена: Teams внутри компании часто считается «рабочей средой», где собеседнику начинают доверять быстрее.

Дальше начиналась ручная социальная инженерия. Оператор выходил на диалог один на один, запускал демонстрацию экрана и получал прямую видимость того, что делает жертва. Rapid7 зафиксировала запуск базовых команд разведки: ipconfig /all, nslookup, net start, whoami, ping. Такие команды помогают понять сеть, учётную запись, домен и окружение машины.

Самый грубый, но рабочий эпизод — сбор паролей через локальные текстовые файлы. В расследованном инциденте жертв просили вводить credentials в файлы с названиями вроде credentials.txt и cred.txt. Ещё один важный шаг — изменение MFA: атакующие добивались добавления подконтрольных устройств или факторов аутентификации, после чего могли входить в корпоративные системы уже через легитимные аккаунты.

После компрометации учёток оператор подключался к внутренним системам, включая контроллер домена, и разворачивал удалённый доступ. В цепочке Rapid7 фигурировали DWAgent, AnyDesk и RDP-сессии. 

После кражи данных атакующие пытались выдать операцию за ransomware-инцидент Chaos. Rapid7 пишет, что изначально атака выглядела как работа ransomware-as-a-service-группы: был бренд Chaos, контакт с жертвой для переговоров и давление через выкуп. Форензика показала другую логику: файлы не стали главной целью, а шифрование либо отсутствовало, либо не было центральной частью операции.

The Hacker News, ссылаясь на отчёт Rapid7, пишет, что оператор использовал ransomware-образ как ложный флаг. То есть расследователям хотели показать «обычную криминальную вымогательскую атаку», пока настоящая цель была ближе к разведке, краже данных и долгому присутствию в инфраструктуре.

MuddyWater — давно отслеживаемая APT-группа, которую разные исследователи связывают с иранскими интересами. В публичных отчётах она также встречается под именами Seedworm, Static Kitten и Mango Sandstorm. Группа известна социальной инженерией, использованием легальных админских инструментов и аккуратным движением внутри сетей после первичного доступа.

Rapid7 оценивает описанный инцидент как операцию, совместимую с государственным спонсированием, замаскированную под деятельность криминальной ransomware-группы. 

Rapid7 рекомендует ограничить внешние коммуникации списком разрешённых доменов и отключить возможность внешним пользователям первыми начинать диалог, если бизнес-процесс этого не требует. Для организаций, где внешние коммуникации нужны, важны allowlist-домены, Spoof Intelligence и отдельные правила для подозрительных внешних чатов.

Quick Assist, AnyDesk, DWAgent, ScreenConnect и другие средства удалённого доступа нельзя просто считать безопасными из-за легальности. Если инструмент не нужен, его стоит удалить или заблокировать политиками. Если нужен — ограничить запуск, логировать сессии, контролировать установку, отслеживать новые службы, scheduled tasks и подключения к внешним узлам.

Командам безопасности нужно отслеживать добавление новых факторов, смену устройств, неожиданные push-запросы и входы сразу после изменения MFA. В описанной атаке манипуляция многофакторной аутентификацией была одним из ключевых этапов, а не второстепенной деталью.

Объяснить сотрудникам, что настоящий IT-отдел не просит вводить пароль в текстовый файл, продиктовать MFA-код в чате, срочно установить AnyDesk из внешнего диалога.

Сигналы, на которые стоит обратить внимание SOC: внешние Teams-чаты с именами вроде IT Support или System Admin, запуск Quick Assist после такого чата, установка AnyDesk/DWAgent/ScreenConnect без заявки, появление файлов credentials.txt и cred.txt, входы в VPN или админские панели сразу после Teams-сессии, добавление новых MFA-устройств, RDP-подключения к серверам и контроллерам домена с недавно скомпрометированных аккаунтов. Эти признаки следуют из цепочки, описанной Rapid7 в расследованном инциденте.

Отдельная зона риска — расследования «ransomware без шифрования». Если есть письмо с выкупом, но нет массово зашифрованных файлов, это не повод выдыхать. Такой сценарий может означать, что шифрование было декорацией, а главная часть атаки уже случилась: учётки ушли, доступ закреплён, данные выгружены.