El actor-estado-naci\u00f3n iran\u00ed conocido como FangosoAgua<\/strong> se ha vinculado a una nueva campa\u00f1a de phishing dirigida a dos entidades israel\u00edes para, en \u00faltima instancia, implementar una herramienta leg\u00edtima de administraci\u00f3n remota de N-able llamada Agente de monitoreo avanzado<\/a>.<\/p>\n La empresa de ciberseguridad Deep Instinct, que revel\u00f3 detalles de los ataques, dicho<\/a> la campa\u00f1a “muestra TTP actualizados para la actividad de MuddyWater informada anteriormente”, que, en el pasado, utiliz\u00f3 cadenas de ataque similares para distribuir otras herramientas de acceso remoto como ScreenConnect, RemoteUtilities, Syncro y SimpleHelp.<\/p>\n Si bien el \u00faltimo desarrollo marca la primera vez que se observa a MuddyWater utilizando el software de monitoreo remoto de N-able, tambi\u00e9n subraya el hecho de que el modus operandi, pr\u00e1cticamente sin cambios, contin\u00faa generando cierto nivel de \u00e9xito para el actor de amenazas.<\/p>\n Los hallazgos tambi\u00e9n han sido confirmados por separado por la empresa de ciberseguridad Group-IB en un correo<\/a> compartido en X (anteriormente Twitter).<\/p>\n El grupo patrocinado por el estado es un equipo de ciberespionaje que se dice que es un elemento subordinado dentro del Ministerio de Inteligencia y Seguridad (MOIS) de Ir\u00e1n, uni\u00e9ndose a otros grupos afiliados a MOIS como OilRig, Lyceum, Agrius y Scarred Manticore. Ha estado activo desde al menos 2017.<\/p>\n Las secuencias de ataques anteriores han implicado el env\u00edo de correos electr\u00f3nicos de phishing con enlaces directos, as\u00ed como archivos adjuntos HTML, PDF y RTF que contienen enlaces a archivos alojados en varias plataformas de intercambio de archivos que, en \u00faltima instancia, eliminan una de las herramientas de administraci\u00f3n remota antes mencionadas.<\/p>\n Las \u00faltimas t\u00e1cticas y herramientas representan en cierto modo una continuaci\u00f3n, y en otros una evoluci\u00f3n, para el grupo conocido como Mango Sandstorm y Static Kitten.<\/p>\n Lo que es diferente esta vez es el uso de un nuevo servicio para compartir archivos llamado Storyblok para iniciar un vector de infecci\u00f3n de m\u00faltiples etapas.<\/p>\n “Contiene archivos ocultos, un archivo LNK que inicia la infecci\u00f3n y un archivo ejecutable dise\u00f1ado para mostrar un documento se\u00f1uelo mientras se ejecuta Advanced Monitoring Agent, una herramienta de administraci\u00f3n remota”, dijo el investigador de seguridad Simon Kenin en un an\u00e1lisis del mi\u00e9rcoles.<\/p>\n “Despu\u00e9s de que la v\u00edctima haya sido infectada, el operador de MuddyWater se conectar\u00e1 al host infectado utilizando la herramienta de administraci\u00f3n remota leg\u00edtima y comenzar\u00e1 a realizar un reconocimiento del objetivo”.<\/p>\n El documento se\u00f1uelo que se muestra a la v\u00edctima es un memorando oficial de la Comisi\u00f3n de Servicio Civil de Israel, que puede ser descargado p\u00fablicamente<\/a> desde su sitio web oficial.<\/p>\n En una se\u00f1al m\u00e1s de la r\u00e1pida mejora de las capacidades cibern\u00e9ticas maliciosas de Ir\u00e1n, Deep Instinct dijo que tambi\u00e9n detect\u00f3 a los actores de MuddyWater aprovechando un nuevo marco de comando y control (C2) llamado MuddyC2Go, un sucesor de MuddyC3 y PhonyC2.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/MuddyWater-de-Iran-apunta-a-Israel-en-una-nueva-campana.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n