Los vinculados a Irán MuddyAgua Se ha observado que el actor de amenazas apunta a varios países en el Medio Oriente, así como en Asia Central y Occidental, como parte de una nueva actividad de phishing.
“Se ha observado que la campaña se dirige a Armenia, Azerbaiyán, Egipto, Irak, Israel, Jordania, Omán, Qatar, Tayikistán y los Emiratos Árabes Unidos”, dijo Simon Kenin, investigador de Deep Instinct. dijo en un informe técnico.
Se dice que MuddyWater, también llamado Boggy Serpens, Cobalt Ulster, Earth Vetala, Mercury, Seedworm, Static Kitten y TEMP.Zagros, es un elemento subordinado dentro del Ministerio de Inteligencia y Seguridad de Irán (MOIS).
Activo desde al menos 2017, los ataques organizados por el grupo de espionaje generalmente se han dirigido a los sectores de telecomunicaciones, gobierno, defensa y petróleo.
El conjunto de intrusiones actual sigue el modus operandi de larga duración de MuddyWater de usar señuelos de phishing que contienen enlaces directos de Dropbox o archivos adjuntos de documentos con una URL incrustada que apunta a un archivo ZIP.
Vale la pena mencionar aquí que los mensajes se envían desde cuentas de correo electrónico corporativas ya comprometidas, que están siendo ofrecido a la venta en la red oscura por tiendas de correo web como Xleet, Odin, Xmina y Lufix entre $ 8 y $ 25 por cuenta.
Si bien los archivos de almacenamiento habían albergado previamente instaladores para herramientas legítimas como ScreenConnect y RemoteUtilities, se observó que el actor cambió a Atera Agent en julio de 2022 en un intento por pasar desapercibido.
Pero como una señal más de que la campaña se mantiene y actualiza activamente, las tácticas de ataque se han modificado una vez más para ofrecer una herramienta de administración remota diferente llamada Syncro.
los software MSP integrado ofrece una forma de controlar completamente una máquina, lo que permite que el adversario realice un reconocimiento, implemente puertas traseras adicionales e incluso venda el acceso a otros actores.
“Un actor de amenazas que tiene acceso a una máquina corporativa a través de tales capacidades tiene opciones casi ilimitadas”, señaló Kenin.
Los hallazgos se producen cuando Deep Instinct también descubrió nuevos componentes de malware empleado por un grupo con sede en el Líbano rastreado como Polonium en sus ataques dirigidos exclusivamente a entidades israelíes.
“Polonium está coordinando sus operaciones con múltiples grupos de actores rastreados afiliados al Ministerio de Inteligencia y Seguridad de Irán (MOIS), en función de la superposición de víctimas y las siguientes técnicas y herramientas comunes”, señaló Microsoft en junio de 2022.