Un outil d'accès à distance pour les fournisseurs de services mobiles est envoyé par le biais de la campagne de phishing MuddyWater.
Les chercheurs de Deep Instincts ont découvert un groupe de pirates informatiques connu sous le nom de MuddyWater, qui a été lié au ministère iranien des Renseignements et de la Sécurité et qui se livre généralement à des opérations secrètes visant des organisations publiques et privées. Ce groupe utilise des courriels d'entreprise compromis pour envoyer des messages de phishing à des cibles en Arménie, en Azerbaïdjan, en Égypte, en Irak, en Israël, en Jordanie, à Oman, au Qatar, au Tadjikistan et aux Émirats arabes unis.
Selon un rapport de Deep Instinct, MuddyWater a utilisé des liens Dropbox ou des pièces jointes de documents avec une URL redirigeant vers un fichier d'archive ZIP comme appâts dans sa campagne, qui comprenait également l'utilisation de comptes de messagerie d'entreprise compromis. Les attaquants sont également passés à Atera Agent après avoir inclus les installateurs Remote Utilities et ScreenConnect dans leurs fichiers d'archive.
MuddyWater utilise également Syncro, un outil d'administration à distance conçu pour les fournisseurs de services gérés (MSP), qui pourrait donner aux attaquants le contrôle total de la machine, leur permettant ainsi de mener des reconnaissances, de fournir des portes dérobées supplémentaires et de vendre l'accès à d'autres acteurs de la menace.
Les first e-mails de phishing ont été envoyés à partir de véritables comptes de messagerie d'entreprise qui avaient été attaqués par les pirates, mais aucune signature d'entreprise ne figurait sur les e-mails de phishing envoyés par le groupe de pirates. La cible, cependant, a fait confiance à l'email car il provenait d'une adresse authentique appartenant à une entreprise qu'elle connaissait.
Le groupe de pirates a joint un fichier HTML avec un lien pour télécharger l'installateur MSI de Syncro afin de réduire le risque d'être détecté par les logiciels/outils de sécurité. Le groupe APT a utilisé une pièce jointe HTML comme appât et a fait appel à des fournisseurs tiers pour héberger les archives contenant les installateurs des outils d'administration à distance.
De plus, la pièce jointe n'est pas une archive ou un exécutable, ce qui n'éveille pas les soupçons de l'utilisateur car le HTML est fréquemment ignoré dans les formations et simulations de phishing. De plus, parce que les pièces jointes HTML sont fréquemment remises aux destinataires et ne sont pas bloquées par les antivirus ou les logiciels de sécurité de messagerie.
Le service serait hébergé sur le stockage de fichiers Microsoft OneDrive. L'e-mail précédent a été envoyé à partir du compte e-mail compromis de l'hébergeur égyptien et le programme d'installation de Syncro était stocké dans Dropbox.
Les sources de cet article comprennent un article de BleepingComputer.