O ator de ameaça associado ao Irã, conhecido como MuddyWater (também conhecido como Mango Sandstorm ou TA450) foi ligado a uma nova campanha de phishing em março de 2024 que visa entregar uma solução legítima de Monitoramento e Gerenciamento Remoto (RMM) chamada Atera.
A atividade, que ocorreu de 7 de março até a semana de 11 de março, visou entidades israelenses abrangendo setores globais de manufatura, tecnologia e segurança da informação, disse Proofpoint.
"TA450 enviou e-mails com anexos PDF que continham links maliciosos", disse a empresa de segurança corporativa.
"Embora este método não seja estranho para o TA450, o ator de ameaça tem confiado mais recentemente em incluir links maliciosos diretamente nos corpos de mensagens de e-mail, em vez de adicionar essa etapa extra."
MuddyWater foi atribuído a ataques direcionados a organizações israelenses desde o final de outubro de 2023, com descobertas anteriores da Deep Instinct revelando o uso do ator de ameaça de outra ferramenta de administração remota da N-able.
Esta não é a primeira vez que o adversário - supostamente afiliado ao Ministério da Inteligência e Segurança do Irã (MOIS) - vem à tona por sua dependência de software legítimo de acesso remoto para atender a seus objetivos estratégicos.
Campanhas de phishing semelhantes levaram ao uso de ScreenConnect, RemoteUtilities, Syncro e SimpleHelp no passado.
Os últimos ataques envolvem MuddyWater incorporando links para arquivos hospedados em sites de compartilhamento de arquivos, como Egnyte, Onehub, Sync e TeraBox.
Alguns dos mensajes de phishing com tema de pagamento são ditos terem sido enviados de uma conta de e-mail provavelmente comprometida associada ao domínio "co.il" (Israel).
Na próxima fase, clicar no link presente no documento de isca PDF leva à recuperação de um arquivo de arquivo ZIP que contém um arquivo de instalador MSI que acaba instalando o Agente Atera no sistema comprometido.
O uso do Agente Atera pelo MuddyWater remonta a julho de 2022.
A mudança nas táticas do MuddyWater vem quando um grupo de hackers iranianos chamado Lord Nemesis visa o setor acadêmico israelense, violando um provedor de serviços de software chamado Rashim Software em um caso de ataque à cadeia de suprimentos de software.
"Lord Nemesis supostamente usou as credenciais obtidas da violação do Rashim para infiltrar vários clientes da empresa, incluindo numerosos institutos acadêmicos", disse a Op Innovate.
"O grupo alega ter obtido informações sensíveis durante a violação, que podem usar para mais ataques ou para pressionar as organizações afetadas."
Acredita-se que Lord Nemesis tenha usado o acesso não autorizado que ganhou à infraestrutura da Rashim, sequestrando a conta de administrador e explorando as ineficazes proteções de autenticação multifator (MFA) da empresa para colher dados pessoais de interesse.
Também enviou mensagens de e-mail para mais de 200 de seus clientes em 4 de março de 2024, quatro meses depois da violação inicial, detalhando a extensão do incidente.
O método exato pelo qual o ator de ameaça ganhou acesso aos sistemas da Rashim não foi divulgado.
"O incidente destaca os riscos significativos representados por fornecedores e parceiros terceirizados (ataque à cadeia de suprimentos)", disse o pesquisador de segurança Roy Golombick.
"Este ataque destaca a crescente ameaça de atores de estado-nação visando empresas menores e com recursos limitados como meio de promover suas agendas geopolíticas."
"Ao comprometer com sucesso a conta de administrador da Rashim, o grupo Lord Nemesis efetivamente contornou as medidas de segurança estabelecidas por várias organizações, concedendo a eles mesmos privilégios elevados e acesso irrestrito a sistemas e dados sensíveis."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...