Se ha observado que el actor estatal iraní conocido como MuddyWater ha utilizado una puerta trasera nunca antes vista como parte de una campaña de ataque reciente, alejándose de su conocida táctica de implementar software legítimo de monitoreo y administración remota (RMM) para mantener un acceso persistente.
Así lo indican los hallazgos independientes de las empresas de ciberseguridad Check Point y Sekoia, que han bautizado la cepa de malware con el nombre en código Sueño de insectos y Putrefacción fangosarespectivamente.
«En comparación con campañas anteriores, esta vez MuddyWater cambió su cadena de infección y no se basó en la herramienta legítima de monitoreo y gestión remota (RRM) de Atera como validador», dijo Sekoia. dicho En un informe compartido con The Hacker News, se afirma que «en lugar de ello, observamos que utilizaron un implante nuevo y no documentado».
Algunos elementos de la campaña fueron primero compartido por la empresa israelí de ciberseguridad ClearSky el 9 de junio de 2024. Los objetivos incluyen países como Turquía, Azerbaiyán, Jordania, Arabia Saudita, Israel y Portugal.
MuddyWater (también conocido como Boggy Serpens, Mango Sandstorm y TA450) es un actor de amenazas patrocinado por el estado que se evalúa que está afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOIS).
Los ataques cibernéticos realizados por el grupo han sido bastante consistentes, aprovechando señuelos de phishing en mensajes de correo electrónico para entregar varias herramientas RMM como Atera Agent, RemoteUtilities, ScreenConnect, SimpleHelp y Syncro.
A principios de abril, HarfangLab afirmó que había notado un aumento en las campañas de MuddyWater que entregaban Atera Agent desde fines de octubre de 2023 a empresas de Israel, India, Argelia, Turquía, Italia y Egipto. Los sectores a los que se dirigen incluyen aerolíneas, empresas de TI, telecomunicaciones, farmacéutica, fabricación de automóviles, logística, viajes y turismo.
«MuddyWater otorga una alta prioridad a obtener acceso a cuentas de correo electrónico comerciales como parte de sus campañas de ataque en curso», dijo la firma francesa de ciberseguridad. anotado En el momento.
«Estas cuentas comprometidas sirven como recursos valiosos, permitiendo al grupo mejorar la credibilidad y eficacia de sus esfuerzos de phishing selectivo, establecer persistencia dentro de las organizaciones objetivo y evadir la detección al mezclarse con el tráfico legítimo de la red».
Las últimas cadenas de ataque no son diferentes, ya que se utilizan cuentas de correo electrónico comprometidas que pertenecen a empresas legítimas para enviar mensajes de phishing que contienen un enlace directo o un archivo PDF adjunto que apunta a un subdominio de Egnyte, que el actor de amenazas ha abusado previamente para propagar Atera Agent.
BugSleep, también conocido como MuddyRot, es un implante x64 desarrollado en C que viene equipado con capacidades para descargar/cargar archivos arbitrarios hacia/desde el host comprometido, iniciar un shell inverso y configurar la persistencia. Las comunicaciones con un servidor de comando y control (C2) se realizan a través de un socket TCP sin formato en el puerto 443.
«El primer mensaje que se envía al C2 es la huella digital del host de la víctima, que es la combinación del nombre del host y el nombre de usuario unidos por una barra», dijo Sekoia. «Si la víctima recibió ‘-1’, el programa se detiene; de lo contrario, el malware entra en un bucle infinito a la espera de una nueva orden del C2».
Actualmente no está claro por qué MuddyWater decidió utilizar un implante a medida, aunque se sospecha que el aumento de la supervisión de las herramientas RMM por parte de los proveedores de seguridad puede haber influido.
«La creciente actividad de MuddyWater en Oriente Medio, particularmente en Israel, pone de relieve la naturaleza persistente de estos actores amenazantes, que siguen operando contra una amplia variedad de objetivos en la región», afirma Check Point. dicho.
«Su uso constante de campañas de phishing, que ahora incorporan una puerta trasera personalizada, BugSleep, marca un desarrollo notable en sus técnicas, tácticas y procedimientos (TTP)».