O ator de ameaças iraniano conhecido como MuddyWater continua sua tradição testada pelo tempo de contar com ferramentas legítimas de administração remota para assumir o controle de sistemas específicos.
Embora o grupo estatal tenha usado anteriormente ScreenConnect, RemoteUtilities e Syncro, uma nova análise da Group-IB revelou o uso pelo adversário do software de suporte remoto SimpleHelp em junho de 2022.
O MuddyWater, ativo desde pelo menos 2017, é avaliado como um elemento subordinado dentro do Ministério de Inteligência e Segurança do Irã (MOIS).
Alguns dos principais alvos incluem Turquia, Paquistão, Emirados Árabes Unidos, Iraque, Israel, Arábia Saudita, Jordânia, EUA, Azerbaijão e Afeganistão.
"O MuddyWater usa o SimpleHelp, uma ferramenta legítima de controle e gerenciamento remoto de dispositivos, para garantir a persistência nos dispositivos das vítimas", disse Nikita Rostovtsev, analista sênior de ameaças da Group-IB.
"O SimpleHelp não foi comprometido e é usado como pretendido.
Os atores de ameaças encontraram uma maneira de baixar a ferramenta do site oficial e usá-la em seus ataques".
O método exato de distribuição usado para enviar as amostras do SimpleHelp ainda não está claro, embora o grupo seja conhecido por enviar mensagens de spear-phishing com links maliciosos de caixas de correio corporativas já comprometidas.
As descobertas da Group-IB foram corroboradas pela empresa de cibersegurança eslovaca ESET em janeiro deste ano, detalhando os ataques do MuddyWater no Egito e na Arábia Saudita que envolveram o uso do SimpleHelp para implantar sua ferramenta de túnel reverso Ligolo e um coletor de credenciais chamado MKL64.
A empresa sediada em Cingapura disse ainda que conseguiu identificar infraestrutura até então desconhecida operada pelo grupo, bem como um script PowerShell capaz de receber comandos de um servidor remoto, cujos resultados são enviados de volta para o servidor.
A divulgação ocorre semanas após a Microsoft detalhar o modus operandi do grupo de realizar ataques destrutivos em ambientes híbridos sob o disfarce de uma operação de ransomware.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...