Muddy Water, un groupe de hackers a utilisé des e-mails d'entreprise compromis pour envoyer des messages de phishing

Les chercheurs de Deep Instincts ont découvert qu’un groupe de hackers nommé Muddy Water, qui a été lié au ministère du renseignement et de la sécurité de l’Iran, a utilisé des e-mails d’entreprise compromis pour envoyer des messages de phishing à leurs cibles.

Selon Deep Instincts, le groupe Muddy Water a appliqué cette nouvelle tactique dans la campagne, qui aurait pu commencer en septembre mais n’a été remarquée qu’en octobre, et également avec l’utilisation de logiciels d’administration à distance authentiques.

Eh bien, les chercheurs de Deep Instincts mentionnent que Muddy Water a également utilisé l’outil d’administration à distance dans leurs campagnes précédentes de 2020 à 2021, qui dépendaient de Remote Utilities et ScreenConnect.

Dans une campagne différente, la même tactique a été utilisée mais a changé pour Atera Agent ! (C’est simplement un système pour surveiller les ordinateurs et les serveurs que vous souhaitez surveiller) a été découvert par Simon Kenin (un chercheur chez Deep Instincts).

En plus de cela, les chercheurs de la société de sécurité ont également découvert une nouvelle campagne en octobre par Muddy Water dans laquelle le groupe a utilisé Syncro (C’est un logiciel pour les fournisseurs de services gérés).

Simon Kenin a noté dans un rapport que les e-mails de phishing initiaux avaient effectivement été envoyés à partir de comptes e-mail d’entreprise légitimes qui avaient été compromis par les hackers.

Le chercheur a ajouté que les signatures d’entreprise n’étaient pas présentes sur les e-mails de phishing envoyés par le groupe de hackers. Cependant, la cible faisait toujours confiance à l’e-mail en tant qu’e-mail légitime car il provenait d’une adresse authentique appartenant à l’entreprise qu’elle connaissait.

Eh bien, parmi les autres cibles du groupe de hackers, il y avait deux entreprises d’hébergement égyptiennes. L’une d’elles a été compromise et utilisée pour envoyer des e-mails de phishing, et l’autre a reçu un e-mail malveillant. C’est l’une des méthodes connues pour gagner la confiance puisque le destinataire connaît l’entreprise.

Pour minimiser le risque d’être détecté par les logiciels/outils de sécurité, le groupe de hackers a joint un fichier HTML qui contenait un lien pour télécharger le programme d’installation Syncro MSI.

De plus, la pièce jointe n’est pas une archive ou un exécutable, ce qui ne rend pas l’utilisateur suspicieux, car le HTML est souvent négligé dans les formations et simulations de phishing, a ajouté Deep Instincts.

Lire : Acteur de menace cible les fournisseurs de services de télécommunications et modifie les méthodes défensives lorsqu’il est détecté

Le service était hébergé sur le stockage de fichiers Microsoft OneDrive, et l’e-mail précédent a été envoyé depuis le compte e-mail compromis de l’entreprise d’hébergement égyptienne et le programme d’installation Syncro était stocké dans Dropbox.

Bien que selon Kenin, la plupart des programmes d’installation Syncro utilisés par le groupe de hackers étaient hébergés sur le stockage cloud OneHub’s Drive, qui a été utilisé dans des campagnes de hacking précédentes.

Une chose à noter ici est que le programme d’installation Syncro a également été utilisé par des attaquants de menace tels que LunaMoth. De plus, le programme d’installation Syncro est livré avec un essai de 21 jours qui a l’interface web complète et fournit un contrôle total sur l’ordinateur sur lequel l’agent Syncro est installé.

Eh bien, une fois que l’agent Syncro est sur l’ordinateur de la cible/victime, les attaquants de menace peuvent l’utiliser pour disposer un backdoor et commencer la persistance et voler des données également.

Certaines des autres cibles du groupe Muddy Water dans cette campagne incluent plusieurs compagnies d’assurance en Israël et les acteurs de menace ont utilisé les mêmes tactiques, c’est-à-dire pirater un compte e-mail de l’entreprise de l’industrie hôtelière israélienne et ensuite envoyer des e-mails de phishing depuis le compte e-mail piraté.

Pour donner l’apparence d’une assurance, le groupe de hackers a ajouté le lien de pièce jointe HTML au programme d’installation Syncro hébergé sur OneDrive.

L’e-mail de phishing était écrit en hébreu (la langue nationale d’Israël). Cela dit, les méthodes de Muddy Water ne sont pas modernes. Pourtant, les logiciels/outils disponibles gratuitement peuvent être un moyen efficace pour les pratiques de hacking.

Les acteurs de menace utilisent différents noms tels que Static Kiten, Cobalt Ulster et Mercury. Ils sont actifs depuis 2017.

Lire : Que faire lorsque vous perdez Internet : dépannage de base de la connexion Internet