Vinculado ao Irã, MuddyWater usa Atera para Vigilância em Ataques de Phishing
26 de Março de 2024

O ator de ameaça associado ao Irã, conhecido como MuddyWater (também conhecido como Mango Sandstorm ou TA450) foi ligado a uma nova campanha de phishing em março de 2024 que visa entregar uma solução legítima de Monitoramento e Gerenciamento Remoto (RMM) chamada Atera.

A atividade, que ocorreu de 7 de março até a semana de 11 de março, visou entidades israelenses abrangendo setores globais de manufatura, tecnologia e segurança da informação, disse Proofpoint.

"TA450 enviou e-mails com anexos PDF que continham links maliciosos", disse a empresa de segurança corporativa.

"Embora este método não seja estranho para o TA450, o ator de ameaça tem confiado mais recentemente em incluir links maliciosos diretamente nos corpos de mensagens de e-mail, em vez de adicionar essa etapa extra."

MuddyWater foi atribuído a ataques direcionados a organizações israelenses desde o final de outubro de 2023, com descobertas anteriores da Deep Instinct revelando o uso do ator de ameaça de outra ferramenta de administração remota da N-able.

Esta não é a primeira vez que o adversário - supostamente afiliado ao Ministério da Inteligência e Segurança do Irã (MOIS) - vem à tona por sua dependência de software legítimo de acesso remoto para atender a seus objetivos estratégicos.

Campanhas de phishing semelhantes levaram ao uso de ScreenConnect, RemoteUtilities, Syncro e SimpleHelp no passado.

Os últimos ataques envolvem MuddyWater incorporando links para arquivos hospedados em sites de compartilhamento de arquivos, como Egnyte, Onehub, Sync e TeraBox.

Alguns dos mensajes de phishing com tema de pagamento são ditos terem sido enviados de uma conta de e-mail provavelmente comprometida associada ao domínio "co.il" (Israel).

Na próxima fase, clicar no link presente no documento de isca PDF leva à recuperação de um arquivo de arquivo ZIP que contém um arquivo de instalador MSI que acaba instalando o Agente Atera no sistema comprometido.

O uso do Agente Atera pelo MuddyWater remonta a julho de 2022.

A mudança nas táticas do MuddyWater vem quando um grupo de hackers iranianos chamado Lord Nemesis visa o setor acadêmico israelense, violando um provedor de serviços de software chamado Rashim Software em um caso de ataque à cadeia de suprimentos de software.

"Lord Nemesis supostamente usou as credenciais obtidas da violação do Rashim para infiltrar vários clientes da empresa, incluindo numerosos institutos acadêmicos", disse a Op Innovate.

"O grupo alega ter obtido informações sensíveis durante a violação, que podem usar para mais ataques ou para pressionar as organizações afetadas."

Acredita-se que Lord Nemesis tenha usado o acesso não autorizado que ganhou à infraestrutura da Rashim, sequestrando a conta de administrador e explorando as ineficazes proteções de autenticação multifator (MFA) da empresa para colher dados pessoais de interesse.

Também enviou mensagens de e-mail para mais de 200 de seus clientes em 4 de março de 2024, quatro meses depois da violação inicial, detalhando a extensão do incidente.

O método exato pelo qual o ator de ameaça ganhou acesso aos sistemas da Rashim não foi divulgado.

"O incidente destaca os riscos significativos representados por fornecedores e parceiros terceirizados (ataque à cadeia de suprimentos)", disse o pesquisador de segurança Roy Golombick.

"Este ataque destaca a crescente ameaça de atores de estado-nação visando empresas menores e com recursos limitados como meio de promover suas agendas geopolíticas."

"Ao comprometer com sucesso a conta de administrador da Rashim, o grupo Lord Nemesis efetivamente contornou as medidas de segurança estabelecidas por várias organizações, concedendo a eles mesmos privilégios elevados e acesso irrestrito a sistemas e dados sensíveis."

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...