Muddy Water, eine Hackergruppe, die kompromittierte Unternehmens-E-Mails für den Versand von Phishing-Nachrichten verwendet hat

Die Forscher von Deep Instincts haben herausgefunden, dass eine Hackergruppe namens Muddy Water, die mit dem Ministerium für Geheimdienste und Sicherheit des Iran in Verbindung gebracht wird, kompromittierte Unternehmens-E-Mails verwendet hat, um Phishing-Nachrichten an ihre Ziele zu senden.

Laut Deep Instincts hat die Muddy Water-Gruppe diese neue Taktik in der Kampagne angewendet, die möglicherweise im September begonnen hat, aber erst im Oktober bemerkt wurde, und zwar auch mit der Verwendung von authentischer Fernadministrationssoftware.

Die Forscher von Deep Instincts erwähnen, dass Muddy Water auch das Fernadministrationstool in ihren früheren Kampagnen von 2020 bis 2021 verwendet hat, die von Remote Utilities und ScreenConnect abhingen.

In einer anderen Kampagne wurden die gleichen Taktiken verwendet, aber auf Atera Agent umgeschaltet! (Es ist einfach ein System zur Überwachung von Computern und Servern, die Sie überwachen möchten) wurde von Simon Kenin (einem Forscher bei Deep Instincts) entdeckt.

Zusätzlich dazu entdeckten die Forscher der Sicherheitsfirma auch eine neue Kampagne im Oktober von Muddy Water, in der die Gruppe Syncro verwendete (Es ist Software für Managed Service Provider).

Simon Kenin stellte in einem Bericht fest, dass die ursprünglichen Phishing-E-Mails tatsächlich von legitimen Unternehmens-E-Mail-Konten gesendet wurden, die von den Hackern kompromittiert wurden.

Der Forscher fügte weiter hinzu, dass die Unternehmenssignaturen in den Phishing-E-Mails, die die Hackergruppe gesendet hat, nicht vorhanden waren. Dennoch vertraute das Ziel der E-Mail, da sie von einer authentischen Adresse stammte, die zu dem Unternehmen gehörte, das sie kannten.

Unter den anderen Zielen der Hackergruppe waren zwei ägyptische Hosting-Unternehmen. Eines von ihnen wurde gehackt und für den Versand von Phishing-E-Mails verwendet, und das andere erhielt eine bösartige E-Mail. Dies ist eine der bekannten Methoden, um Vertrauen zu gewinnen, da der Empfänger das Unternehmen kennt.

Um das Risiko einer Entdeckung durch die Sicherheitssoftware/-tools zu minimieren, hängte die Hackergruppe eine HTML-Datei an, die einen Link zum Herunterladen des Syncro MSI-Installers enthielt.

Darüber hinaus ist der Anhang kein Archiv oder ausführbares Programm, was den Benutzer nicht misstrauisch macht, da HTML in Phishing-Schulungen und Simulationen meist übersehen wird, fügte Deep Instincts hinzu.

Lesen: Bedrohungsakteur zielt auf Telekommunikationsdienstleister ab und ändert Verteidigungsmethoden, wenn er entdeckt wird

Der Dienst wurde auf Microsoft OneDrive-Dateispeicher gehostet, und die vorherige E-Mail wurde von dem kompromittierten E-Mail-Konto des ägyptischen Hosting-Unternehmens gesendet, und der Syncro-Installer wurde in Dropbox gespeichert.

Obwohl laut Kenin die meisten der von der Hackergruppe verwendeten Syncro-Installer auf OneHub’s Drive-Cloud-Speicher gehostet wurden, der in früheren Hacking-Kampagnen verwendet wurde.

Eine Sache, die hier zu beachten ist, ist, dass der Syncro-Installer auch von Bedrohungsangreifern wie LunaMoth verwendet wurde. Darüber hinaus kommt der Syncro-Installer mit einer 21-tägigen Testversion, die die vollständige Weboberfläche bietet und die vollständige Kontrolle über den Computer ermöglicht, auf dem der Syncro-Agent installiert ist.

Sobald der Syncro-Agent auf dem Computer des Ziels/Opfers installiert ist, können die Bedrohungsangreifer ihn verwenden, um einen Backdoor zu installieren, Persistenz zu beginnen und Daten zu stehlen.

Einige der anderen Ziele der Muddy Water-Gruppe in dieser Kampagne umfassen mehrere Versicherungsunternehmen in Israel, und die Bedrohungsakteure verwendeten die gleichen Taktiken, d.h. sie hackten ein E-Mail-Konto des Unternehmens der israelischen Gastgewerbebranche und sendeten dann Phishing-E-Mails von dem gehackten E-Mail-Konto.

Um es wie eine Versicherung aussehen zu lassen, fügte die Hackergruppe den HTML-Anhangslink zum Syncro-Installer hinzu, der auf OneDrive gehostet wurde.

Die Phishing-E-Mail war auf Hebräisch (der Nationalsprache Israels) verfasst. Damit gesagt, sind die Methoden von Muddy Water nicht modern. Dennoch können die frei verfügbaren Software/Tools eine effektive Möglichkeit für Hacking-Praktiken sein.

Die Bedrohungsakteure verwenden verschiedene Namen wie Static Kiten, Cobalt Ulster und Mercury. Sie sind seit 2017 aktiv.

Lesen: Was tun, wenn Sie das Internet verlieren: Grundlegende Fehlerbehebung bei Internetverbindungen