Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Herramienta de acceso remoto MSP enviada a través de la campaña de phishing MuddyWater
19 de diciembre de 2022 - Equipo de relaciones públicas de TuxCare
Los investigadores de Deep Instincts han descubierto que un grupo de hackers conocido como MuddyWater, vinculado al Ministerio de Inteligencia y Seguridad de Irán y dedicado habitualmente a operaciones encubiertas dirigidas tanto a organizaciones públicas como privadas, utiliza correos electrónicos corporativos comprometidos para enviar mensajes de phishing a objetivos en Armenia, Azerbaiyán, Egipto, Irak, Israel, Jordania, Omán, Qatar, Tayikistán y Emiratos Árabes Unidos.
Según un informe de Deep Instinct, MuddyWater utilizaba enlaces de Dropbox o documentos adjuntos con una URL que redirigía a un archivo ZIP como señuelos en su campaña, que también incluía el uso de cuentas de correo electrónico corporativas comprometidas. Los atacantes también han cambiado a Atera Agent después de incluir instaladores de Remote Utilities y ScreenConnect en sus archivos comprimidos.
MuddyWater también emplea Syncro, una herramienta de administración remota diseñada para proveedores de servicios gestionados (MSP) que podría dar a los atacantes el control total de la máquina, lo que les permitiría llevar a cabo tareas de reconocimiento, ofrecer puertas traseras adicionales y vender el acceso a otros actores de amenazas.
Los primeros correos electrónicos de phishing se enviaron desde cuentas de correo electrónico de empresas auténticas que habían sido atacadas por los hackers, pero no había firmas de la empresa en los correos electrónicos de phishing enviados por el grupo de hackers. El objetivo, sin embargo, confiaba en el correo electrónico porque procedía de una dirección auténtica perteneciente a una empresa que conocía.
El grupo de hackers adjuntó un archivo HTML con un enlace para descargar el instalador MSI de Syncro para reducir el riesgo de ser detectado por software/herramientas de seguridad. El grupo APT utilizó un archivo HTML adjunto como señuelo y utilizó proveedores de terceros para alojar los archivos que contenían los instaladores de la herramienta de administración remota.
Además, el adjunto no es un archivo ni un ejecutable, lo que no levanta las sospechas del usuario porque el HTML se ignora con frecuencia en los entrenamientos y simulaciones de phishing. También, porque los archivos adjuntos HTML se entregan con frecuencia a los destinatarios y no son bloqueados por los antivirus o el software de seguridad del correo electrónico.
Al parecer, el servicio estaba alojado en el almacenamiento de archivos Microsoft OneDrive, y el correo electrónico anterior se envió desde la cuenta de correo electrónico comprometida de la empresa de alojamiento egipcia, y el instalador de Syncro estaba almacenado en Dropbox.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
