Muddy Water, un grupo de hackers utilizó correos electrónicos corporativos comprometidos para enviar mensajes de phishing

Los investigadores de Deep Instincts descubrieron que un grupo de hackers llamado Muddy Water, que ha sido vinculado con el Ministerio de Inteligencia y Seguridad de Irán, ha utilizado correos electrónicos corporativos comprometidos para enviar mensajes de phishing a sus objetivos.

Según Deep Instincts, el grupo Muddy Water ha aplicado esta nueva táctica en la campaña, que podría haber comenzado en septiembre pero solo fue notada en octubre y también con el uso de software de administración remota auténtico.

Bueno, los investigadores de Deep Instincts mencionan que Muddy Water también ha utilizado la herramienta de administración remota en sus campañas anteriores de 2020 a 2021, que dependían de Remote Utilities y ScreenConnect.

En una campaña diferente se utilizaron las mismas tácticas pero se cambiaron a Atera Agent! (Es simplemente un sistema para monitorear computadoras y servidores que deseas monitorear) fue descubierto por Simon Kenin (un investigador de Deep Instincts).

Además de esto, los investigadores de la firma de seguridad también descubrieron una nueva campaña en octubre por Muddy Water en la que el grupo utilizó Syncro (Es un software para proveedores de servicios gestionados).

Simon Kenin en un informe notó que los correos electrónicos de phishing iniciales fueron enviados efectivamente desde cuentas de correo electrónico corporativas legítimas que fueron comprometidas por los hackers.

El investigador agregó que las firmas de la empresa no estaban presentes en los correos electrónicos de phishing que envió el grupo de hackers. Sin embargo, el objetivo aún confiaba en el correo como un correo legítimo ya que provenía de una dirección auténtica perteneciente a la empresa que conocían.

Bueno, entre otros objetivos del grupo de hackers, había dos empresas de hosting egipcias. Una de ellas fue violada y utilizada para enviar correos electrónicos de phishing, y la otra recibió un correo electrónico malicioso. Este es uno de los métodos conocidos para ganar confianza ya que el receptor conoce la empresa.

Para minimizar el riesgo de ser detectados por el software/herramientas de seguridad, el grupo de hackers adjuntó un archivo HTML que tenía un enlace para descargar el instalador Syncro MSI.

Además, el archivo adjunto no es un archivo comprimido ni un ejecutable, lo que no hace que el usuario sospeche, ya que el HTML es mayormente pasado por alto en la capacitación y simulaciones de phishing, agregó Deep Instincts.

Leer: Actor de amenaza apunta a proveedores de servicios de telecomunicaciones y altera métodos defensivos cuando es detectado

El servicio fue alojado en el almacenamiento de archivos de Microsoft OneDrive, y el correo electrónico anterior fue enviado desde la cuenta de correo electrónico comprometida de la empresa de hosting egipcia y el instalador Syncro fue almacenado en Dropbox.

Aunque según Kenin, la mayoría de los instaladores Syncro que utilizó el grupo de hackers fueron alojados en el almacenamiento en la nube de OneHub’s Drive, que ha sido utilizado en campañas de hacking anteriores.

Una cosa a tener en cuenta aquí es que el instalador Syncro también ha sido utilizado por atacantes de amenazas como LunaMoth. Además, el instalador Syncro viene con una prueba de 21 días que tiene la interfaz web completa y proporciona control total sobre la computadora que tiene el agente Syncro instalado.

Bueno, una vez que el agente Syncro está en la computadora del objetivo/víctima, los atacantes de amenazas pueden usarlo para deshacerse de un backdoor y comenzar la persistencia y robar datos también.

Algunos de los otros objetivos del grupo Muddy Water en esta campaña incluyen múltiples compañías de seguros en Israel y los actores de amenazas utilizaron las mismas tácticas, es decir, hackear una cuenta de correo electrónico de la empresa de la industria de la hospitalidad israelí y luego enviar correos electrónicos de phishing desde la cuenta de correo electrónico hackeada.

Para que parezca un seguro, el grupo de hackers agregó el enlace del archivo adjunto HTML al instalador Syncro alojado en OneDrive.

El correo electrónico de phishing fue escrito en hebreo (el idioma nacional de Israel). Dicho esto, los métodos de Muddy Water no son modernos. Sin embargo, el software/herramientas disponibles gratuitamente pueden ser una forma efectiva para las prácticas de hacking.

Los actores de amenazas utilizan diferentes nombres como Static Kiten, Cobalt Ulster y Mercury. Ha estado activo desde 2017.

Leer: Qué hacer cuando pierdes Internet: Solución básica de problemas de conexión a Internet