O ator de ameaça patrocinado pelo Estado iraniano conhecido como MuddyWater foi observado utilizando uma backdoor nunca antes vista como parte de uma recente campanha de ataque, afastando-se de sua tática bem conhecida de implantar software legítimo de monitoramento e gerenciamento remoto (RMM) para manter acesso persistente.
Isso é o que apontam as descobertas independentes das empresas de cibersegurança Check Point e Sekoia, que nomearam a cepa do malware de BugSleep e MuddyRot, respectivamente.
"Comparado com as campanhas anteriores, desta vez o MuddyWater mudou sua cadeia de infecção e não dependeu da ferramenta legítima de monitoramento e gerenciamento remoto Atera (RRM) como um validador," disse Sekoia em um relatório.
Em vez disso, observamos que eles usaram um implante novo e não documentado.
Alguns elementos da campanha foram inicialmente compartilhados pela empresa israelense de cibersegurança ClearSky no dia 9 de junho de 2024.
Os alvos incluem países como Turquia, Azerbaijão, Jordânia, Arábia Saudita, Israel e Portugal.
MuddyWater (também conhecido como Boggy Serpens, Mango Sandstorm e TA450) é um ator de ameaça patrocinado pelo estado que se avalia estar afiliado ao Ministério da Inteligência e Segurança do Irã (MOIS).
Os ataques cibernéticos realizados pelo grupo têm sido bastante consistentes, utilizando iscas de spear-phishing em mensagens de email para entregar vários ferramentas de RMM como Atera Agent, RemoteUtilities, ScreenConnect, SimpleHelp e Syncro.
No início de abril, a HarfangLab disse que notou um aumento nas campanhas do MuddyWater entregando Atera Agent desde o final de outubro de 2023 a empresas em Israel, Índia, Argélia, Turquia, Itália e Egito.
Os setores visados incluem companhias aéreas, empresas de TI, telecomunicações, farmacêuticas, fabricação automotiva, logística, viagens e turismo.
"O MuddyWater dá alta prioridade ao acesso a contas de email empresariais como parte de suas contínuas campanhas de ataque," observou a firma francesa de cibersegurança na época.
Essas contas comprometidas servem como recursos valiosos, permitindo ao grupo aumentar a credibilidade e eficácia de seus esforços de spear-phishing, estabelecer persistência dentro das organizações visadas e evitar detecção, mesclando-se ao tráfego de rede legítimo.
As cadeias de ataque mais recentes não são diferentes, pois contas de email comprometidas pertencentes a empresas legítimas são utilizadas para enviar mensagens de spear-phishing que contêm um link direto ou um anexo em PDF apontando para um subdomínio Egnyte, que foi previamente abusado pelo ator de ameaça para propagar o Atera Agent.
BugSleep, também conhecido como MuddyRot, é um implante x64 desenvolvido em C que vem equipado com capacidades para baixar/enviar arquivos arbitrários para/de o host comprometido, lançar um shell reverso e estabelecer persistência.
As comunicações com um servidor de comando e controle (C2) ocorrem através de um socket TCP bruto na porta 443.
"A primeira mensagem a ser enviada para o C2 é a impressão digital do host vítima, que é a combinação do nome do host e do nome de usuário unidos por uma barra," disse Sekoia.
Se a vítima receber '-1', o programa para, caso contrário, o malware entra em um loop infinito para aguardar novas ordens do C2.
Atualmente, não está claro o motivo pelo qual o MuddyWater mudou para o uso de um implante personalizado, embora se suspeite que o aumento do monitoramento de ferramentas de RMM por fornecedores de segurança possa ter desempenhado um papel.
"A atividade aumentada do MuddyWater no Oriente Médio, particularmente em Israel, destaca a natureza persistente desses atores de ameaça, que continuam a operar contra uma grande variedade de alvos na região," disse a Check Point.
Seu uso consistente de campanhas de phishing, agora incorporando uma backdoor personalizada, BugSleep, marca um desenvolvimento notável em suas técnicas, táticas e procedimentos (TTPs).
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...