Μια ομάδα κυβερνοεγκληματιών, γνωστή ως MuddyWater, που συνδέεται στενά με το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν (MOIS), χρησιμοποιεί παραβιασμένα εταιρικά email accounts για να διανέμει κακόβουλα μηνύματα phishing στους στόχους τους.
Τον Οκτώβριο, η ομάδα υιοθέτησε μια νέα προσέγγιση στην εκστρατεία της που είχε ξεκινήσει τον Σεπτέμβριο. Η τεχνική αυτή περιελάμβανε τη χρήση ενός επίσημου εργαλείου απομακρυσμένης διαχείρισης και απέδωσε εντυπωσιακά αποτελέσματα.
Μετάβαση από ένα εργαλείο MSP στο επόμενο
Η ομάδα hacking MuddyWater στο παρελθόν έχει χρησιμοποιήσει νόμιμα εργαλεία απομακρυσμένης διαχείρισης για τις hacking δραστηριότητές της. Οι ερευνητές ανακάλυψαν καμπάνιες αυτής της ομάδας το 2020 και το 2021 που βασίζονταν σε RemoteUtilities και ScreenConnect.
Μετά την επιτυχημένη εκστρατεία τους τον Ιούλιο, οι χάκερ συνέχισαν να χρησιμοποιούν αυτή τη μέθοδο, αλλά άλλαξαν σε Atera, όπως παρατήρησε ο Simon Kenin της Deep Instinct.
Τον Οκτώβριο, η ερευνητική ομάδα του Deep Instinct εντόπισε μια νέα εκστρατεία της MuddyWater που χρησιμοποιούσε το Syncro – ένα remote administration εργαλείο σχεδιασμένο για παρόχους υπηρεσιών διαχείρισης (MSP).
Ο Kenin τόνισε στη σημερινή του έκθεση ότι το πρώτο στάδιο της μόλυνσης ήταν μια επίθεση phishing που ξεκίνησε από έναν λογαριασμό ηλεκτρονικού ταχυδρομείου που αποκτήθηκε με δόλιο τρόπο από τους χάκερ.
Ο ερευνητής αποκάλυψε στο BleepingComputer ότι παρόλο που το phishing μήνυμα ηλεκτρονικού ταχυδρομείου δεν είχε την επίσημη υπογραφή της εταιρείας, τα θύματα το πίστεψαν, καθώς είχε αυθεντική διεύθυνση από έναν αξιόπιστο οργανισμό.
Μεταξύ των στόχων αυτής της καμπάνιας είναι δύο αιγυπτιακές εταιρείες hosting, η μία από τις οποίες παραβιάστηκε για να στείλει μηνύματα ηλεκτρονικού ψαρέματος. Ο άλλος ήταν ο παραλήπτης του κακόβουλου μηνύματος.
Όπως διευκρινίζει ο Kenin στην έκθεσή του, πρόκειται για μια ευρέως διαδεδομένη τεχνική για την ενίσχυση της εμπιστοσύνης μεταξύ του αποστολέα και του παραλήπτη. Παρουσιάζοντας εκ των προτέρων τους εαυτούς τους, δημιουργούν εξοικείωση που μπορεί να οδηγήσει σε μεγαλύτερη σιγουριά και στις δύο πλευρές.
Για να αποτρέψει τις λύσεις ασφαλείας ηλεκτρονικού ταχυδρομείου από το να ανιχνεύσουν την κακόβουλη δραστηριότητά τους, ο επιτιθέμενος επισύναψε ένα αρχείο HTML που περιείχε έναν σύνδεσμο για τη λήψη του installer Syncro MSI.
Το εργαλείο φιλοξενήθηκε στον χώρο αποθήκευσης αρχείων OneDrive της Microsoft. Ένα προηγούμενο μήνυμα που στάλθηκε από τον παραβιασμένο λογαριασμό email της αιγυπτιακής εταιρείας φιλοξενίας αποθήκευσε το Syncro installer στο Dropbox.
Είναι ενδιαφέρον ότι ο ερευνητής σημείωσε ότι το μεγαλύτερο μέρος της υλοποίησης του Syncro από την MuddyWater φιλοξενείται στην υπηρεσία αποθήκευσης cloud της OneHub, μια πλατφόρμα που χρησιμοποιήθηκε και στο παρελθόν από τον δράστη για τις κακόβουλες εκστρατείες hacking.
Φαίνεται ότι και άλλοι κακόβουλοι φορείς, όπως οι BatLoader και LunaMoth, έχουν χρησιμοποιήσει αυτό το εργαλείο. Η δοκιμαστική έκδοση συνοδεύεται από ένα ολόκληρο web interface και παραμένει έγκυρη για 21 ημέρες – παρέχοντας πλήρη έλεγχο σε οποιονδήποτε υπολογιστή κατέχει τον Syncro agent εγκατεστημένο!
Έχοντας πρόσβαση στο στοχευμένο σύστημα, οι επιτιθέμενοι μπορούν να εγκαταστήσουν backdoors για persistence και για να κλέψουν εμπιστευτικές πληροφορίες.
Στο πλαίσιο της επίθεσής της, η ομάδα MuddyWater στόχευσε διάφορες ασφαλιστικές εταιρείες στο Ισραήλ, στέλνοντας email από έναν λογαριασμό μιας ισραηλινής βιομηχανίας hospitality στον οποίο είχε αποκτήσει παράνομη πρόσβαση. Χρησιμοποιώντας την ίδια μέθοδο, μπόρεσαν να στείλουν κακόβουλες επικοινωνίες χωρίς να εντοπιστούν.
Προσποιούμενοι τους ασφαλιστές, οι χάκερ επισύναψαν ένα συνημμένο αρχείο HTML που περιείχε έναν σύνδεσμο προς το Syncro installer που φιλοξενείται στο OneDrive.
Ο Kenin σημείωσε ότι, παρόλο που το μήνυμα ηλεκτρονικού ταχυδρομείου είχε συνταχθεί στα εβραϊκά, ένας έμπειρος ομιλητής θα μπορούσε να εντοπίσει προειδοποιητικά σημάδια, δεδομένης της έλλειψης ακρίβειας στην επιλογή των λέξεων.
Αν και οι στρατηγικές της MuddyWater είναι μάλλον απλοϊκές, αποδεικνύουν ότι εύκολα προσβάσιμα προγράμματα μπορούν να χρησιμοποιηθούν για επιτυχημένες κυβερνοεπιθέσεις.
Ο απειλητικός παράγοντας έχει εντοπιστεί με διαφορετικά ονόματα (Static Kitten, Cobalt Ulster, Mercury) και είναι ενεργός τουλάχιστον από το 2017.
Συμμετέχοντας σε δραστηριότητες κατασκοπείας, η εν λόγω ομάδα επικεντρώνεται κυρίως σε δημόσιους και ιδιωτικούς οργανισμούς σε παγκόσμιο επίπεδο, συμπεριλαμβανομένων παρόχων τηλεπικοινωνιών, τοπικών κυβερνήσεων, αμυντικών υπηρεσιών, εταιρειών πετρελαίου και φυσικού αερίου που βρίσκονται στη Μέση Ανατολή, την περιοχή Ασίας-Ειρηνικού , την Ευρώπη, τη Βόρεια Αμερική καθώς και την Αφρική.
Η MuddyWater είναι μια επικίνδυνη ομάδα hacking με μακρύ ιστορικό επιτυχημένων επιθέσεων εναντίον διαφόρων οργανισμών σε όλο τον κόσμο. Είναι σημαντικό να είμαστε σε εγρήγορση απέναντι στις προσπάθειές της να αποκτήσει πρόσβαση στα δίκτυά μας, λαμβάνοντας τα απαραίτητα μέτρα για να προστατευτούμε από τις κακόβουλες δραστηριότητές της.
Πηγή πληροφοριών: bleepingcomputer.com
...){kind=link}