MSP-Fernzugriffstool wird über MuddyWater-Phishing-Kampagne verschickt
Deep Instincts-Forscher haben aufgedeckt, dass eine Hackergruppe namens MuddyWater, die mit dem iranischen Geheimdienst- und Sicherheitsministerium in Verbindung gebracht wird und normalerweise verdeckte Operationen gegen öffentliche und private Organisationen durchführt, kompromittierte Unternehmens-E-Mails verwendet, um Phishing-Nachrichten an Ziele in Armenien, Aserbaidschan, Ägypten, Irak, Israel, Jordanien, Oman, Katar, Tadschikistan und den Vereinigten Arabischen Emiraten zu senden.
Einem Bericht von Deep Instinct zufolge nutzte MuddyWater Dropbox-Links oder Dokumentanhänge mit einer URL, die auf eine ZIP-Archivdatei umleitet, als Köder in seiner Kampagne, bei der auch kompromittierte Firmen-E-Mail-Konten verwendet wurden. Die Angreifer sind auch auf Atera Agent umgestiegen, nachdem sie Installationsprogramme für Remote Utilities und ScreenConnect in ihre Archivdateien eingefügt hatten.
MuddyWater setzt auch Syncro ein, ein für Managed Service Provider (MSPs) entwickeltes Remote-Administrationstool, das Angreifern die vollständige Kontrolle über den Rechner geben könnte, so dass sie ihn auskundschaften, zusätzliche Hintertüren einbauen und den Zugang an andere Bedrohungsakteure verkaufen können.
Die ersten Phishing-E-Mails wurden von echten E-Mail-Konten von Unternehmen verschickt, die von den Hackern angegriffen worden waren, aber die von der Hackergruppe verschickten Phishing-E-Mails wiesen keine Firmensignaturen auf. Die Zielperson vertraute jedoch der E-Mail, da sie von einer authentischen Adresse eines ihr bekannten Unternehmens stammte.
Die Hacker-Gruppe fügte eine HTML-Datei mit einem Link zum Herunterladen des Syncro MSI-Installers an, um das Risiko zu verringern, von Sicherheitssoftware/-tools entdeckt zu werden. Die APT-Gruppe verwendete einen HTML-Anhang als Köder und nutzte Drittanbieter, um die Archive mit den Installationsprogrammen für die Remote-Administrationstools zu hosten.
Außerdem handelt es sich bei dem Anhang nicht um ein Archiv oder eine ausführbare Datei, was beim Benutzer keinen Verdacht erregt, da HTML in Phishing-Trainings und -Simulationen häufig ignoriert wird. Außerdem werden HTML-Anhänge häufig an die Empfänger übermittelt und nicht von Antiviren- oder E-Mail-Sicherheitssoftware blockiert.
Der Dienst wurde angeblich auf dem Dateispeicher Microsoft OneDrive gehostet, und die vorherige E-Mail wurde von dem kompromittierten E-Mail-Konto des ägyptischen Hosting-Unternehmens gesendet, und das Syncro-Installationsprogramm wurde in Dropbox gespeichert.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.