El actor de amenazas iraní conocido como MuddyWater continúa con su tradición comprobada de confiar en herramientas legítimas de administración remota para requisar sistemas específicos.
Si bien el grupo de estado-nación ha empleado anteriormente ScreenConnect, RemoteUtilities y Syncro, un nuevo análisis de Group-IB ha revelado el uso del adversario del software de soporte remoto SimpleHelp en junio de 2022.
MuddyWater, activo desde al menos 2017, se considera un elemento subordinado dentro del Ministerio de Inteligencia y Seguridad de Irán (MOIS). Algunos de los principales objetivos incluyen Turquía, Pakistán, Emiratos Árabes Unidos, Irak, Israel, Arabia Saudita, Jordania, Estados Unidos, Azerbaiyán y Afganistán.
«MuddyWater utiliza SimpleHelp, una herramienta legítima de administración y control de dispositivos remotos, para garantizar la persistencia en los dispositivos de las víctimas», dijo Nikita Rostovtsev, analista senior de amenazas de Group-IB.
«SimpleHelp no está comprometido y se usa según lo previsto. Los actores de amenazas encontraron una manera de descargar la herramienta del sitio web oficial y usarla en sus ataques».
El método de distribución exacto utilizado para colocar las muestras de SimpleHelp no está claro actualmente, aunque se sabe que el grupo envía mensajes de phishing con enlaces maliciosos desde buzones de correo corporativos ya comprometidos.
Los hallazgos del Grupo-IB fueron corroborado por la firma eslovaca de seguridad cibernética ESET a principios de enero, detallando los ataques de MuddyWater en Egipto y Arabia Saudita que implicaron el uso de SimpleHelp para implementar su herramienta de tunelización inversa Ligolo y un recolector de credenciales denominado MKL64.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
La compañía con sede en Singapur dijo además que pudo identificar una infraestructura hasta ahora desconocida operada por el grupo, así como una secuencia de comandos de PowerShell que es capaz de recibir comandos de un servidor remoto, cuyos resultados se envían de vuelta al servidor.
La divulgación se produce semanas después de que Microsoft detallara el modus operandi del grupo de llevar a cabo ataques destructivos en entornos híbridos bajo la apariencia de una operación de ransomware.