Muddy Water, un gruppo di hacker ha utilizzato email aziendali compromesse per inviare messaggi di phishing

I ricercatori di Deep Instincts hanno scoperto che un gruppo di hacker chiamato Muddy Water, collegato al Ministero dell’Intelligence e della Sicurezza dell’Iran, ha utilizzato email aziendali compromesse per inviare messaggi di phishing ai loro obiettivi.

Secondo Deep Instincts, il gruppo Muddy Water ha applicato questa nuova tattica nella campagna, che potrebbe essere iniziata a settembre ma è stata notata solo in ottobre, anche con l’uso di software di amministrazione remota autentico.

Bene, i ricercatori di Deep Instincts menzionano che Muddy Water ha anche utilizzato lo strumento di amministrazione remota nelle loro campagne precedenti dal 2020 al 2021, che dipendevano da Remote Utilities e ScreenConnect.

In una campagna diversa, sono state utilizzate le stesse tattiche ma si è passati a Atera Agent! (È semplicemente un sistema per monitorare computer e server che si desidera monitorare) è stato scoperto da Simon Kenin (un ricercatore di Deep Instincts).

In aggiunta a questo, i ricercatori della società di sicurezza hanno anche scoperto una nuova campagna in ottobre da parte di Muddy Water in cui il gruppo ha utilizzato Syncro (è un software per fornitori di servizi gestiti).

Simon Kenin in un rapporto ha notato che le email di phishing iniziali erano state effettivamente inviate da account email aziendali legittimi che erano stati compromessi dagli hacker.

Il ricercatore ha ulteriormente aggiunto che le firme aziendali non erano presenti nelle email di phishing inviate dal gruppo di hacker. Tuttavia, il target ha comunque fiducia nell’email come email legittima poiché proveniva da un indirizzo autentico appartenente all’azienda che conoscono.

Bene, tra gli altri obiettivi del gruppo di hacker, c’erano due aziende di hosting egiziane. Una di esse è stata violata e utilizzata per inviare email di phishing, e l’altra ha ricevuto un’email malevola. Questo è uno dei metodi noti per guadagnare fiducia poiché il ricevente conosce l’azienda.

Per minimizzare il rischio di essere rilevati dai software/strumenti di sicurezza, il gruppo di hacker ha allegato un file HTML che conteneva un link per scaricare il Syncro MSI Installer.

Inoltre, l’allegato non è un archivio o un eseguibile, il che non rende l’utente sospettoso poiché l’HTML è per lo più trascurato nella formazione e nelle simulazioni di phishing, ha aggiunto Deep Instincts.

Leggi: Attore di minaccia prende di mira i fornitori di servizi telecom e altera i metodi difensivi quando viene rilevato

Il servizio è stato ospitato su Microsoft OneDrive file storage, e la precedente email è stata inviata dall’account email compromesso dell’azienda di hosting egiziana e l’installer di Syncro è stato memorizzato in Dropbox.

Sebbene secondo Kenin, la maggior parte degli installer di Syncro utilizzati dal gruppo di hacker fosse ospitata su OneHub’s Drive cloud storage, che è stata utilizzata in campagne di hacking precedenti.

Una cosa da notare qui è che Syncro Installer è stato utilizzato anche da attaccanti di minacce come LunaMoth. Inoltre, l’installer di Syncro viene fornito con una prova di 21 giorni che ha l’interfaccia web completa e fornisce il controllo completo sul computer su cui è installato l’agente Syncro.

Bene, una volta che l’agente Syncro è sul computer del target/vittima, gli attaccanti di minacce possono usarlo per disporre un backdoor e iniziare la persistenza e rubare dati.

Altri obiettivi del gruppo Muddy Water in questa campagna includono diverse compagnie di assicurazione in Israele e gli attori di minaccia hanno utilizzato le stesse tattiche, ovvero hackerare un’email dell’azienda dell’industria dell’ospitalità israeliana e poi inviare email di phishing dall’account email hackerato.

Per farlo sembrare un’assicurazione, il gruppo di hacker ha aggiunto il link all’allegato HTML per l’installer di Syncro ospitato su OneDrive.

L’email di phishing è stata scritta in ebraico (la lingua nazionale di Israele). Detto ciò, i metodi di Muddy Water non sono moderni. Eppure, il software/gli strumenti disponibili gratuitamente possono essere un modo efficace per pratiche di hacking.

Gli attori di minaccia usano nomi diversi come Static Kiten, Cobalt Ulster e Mercury. Sono attivi dal 2017.

Leggi: Cosa fare quando perdi Internet: Risoluzione dei problemi di connessione Internet di base