Muddy Water, um Grupo de Hackers Usou E-mails Corporativos Comprometidos para Enviar Mensagens de Phishing

Os pesquisadores da Deep Instincts descobriram que um grupo de hackers chamado Muddy Water, que tem ligação com o Ministério da Inteligência e Segurança do Irã, usou e-mails corporativos comprometidos para enviar mensagens de phishing aos seus alvos.

De acordo com a Deep Instincts, o grupo Muddy Water aplicou essa nova tática na campanha, que pode ter começado em setembro, mas só foi notada em outubro e também com o uso de software de administração remota autêntico.

Bem, os pesquisadores da Deep Instincts mencionam que o Muddy Water também usou a ferramenta de administração remota em suas campanhas anteriores de 2020 a 2021, que dependiam do Remote Utilities e ScreenConnect.

Em uma campanha diferente, usou as mesmas táticas, mas mudou para o Atera Agent! (É simplesmente um sistema para monitorar computadores e servidores que você deseja monitorar) foi descoberto por Simon Kenin (um pesquisador da Deep Instincts).

Além disso, os pesquisadores da empresa de segurança também descobriram uma nova campanha em outubro pelo Muddy Water, na qual o grupo usou o Syncro (é um software para provedores de serviços gerenciados).

Simon Kenin, em um relatório, observou que os e-mails de phishing iniciais foram realmente enviados de contas de e-mail corporativas legítimas que foram comprometidas pelos hackers.

O pesquisador acrescentou que as assinaturas da empresa não estavam presentes nos e-mails de phishing que o grupo de hackers enviou. No entanto, o alvo ainda confiou no e-mail como um e-mail legítimo, pois veio de um endereço autêntico pertencente à empresa que conhecem.

Bem, entre outros alvos do grupo de hackers, havia duas empresas de hospedagem egípcias. Uma delas foi invadida e usada para enviar e-mails de phishing, e a outra recebeu um e-mail malicioso. Este é um dos métodos conhecidos para ganhar confiança, uma vez que o receptor conhece a empresa.

Para minimizar o risco de ser detectado pelos softwares/ferramentas de segurança, o grupo de hackers anexou um arquivo HTML que tinha um link para baixar o Instalador MSI do Syncro.

Além disso, o anexo não é um arquivo compactado ou um executável, o que não faz o usuário suspeitar, já que o HTML é geralmente negligenciado em treinamentos e simulações de phishing, acrescentou a Deep Instincts.

Leia: Ator de Ameaça Alvo Provedores de Serviços de Telecomunicações e Altera Métodos Defensivos Quando Detectado

O serviço foi hospedado no armazenamento de arquivos do Microsoft OneDrive, e o e-mail anterior foi enviado da conta de e-mail comprometida da empresa de hospedagem egípcia e o instalador do Syncro foi armazenado no Dropbox.

Embora, de acordo com Kenin, a maioria dos instaladores do Syncro que o grupo de hackers usou foi hospedada no armazenamento em nuvem do OneHub’s Drive, que foi usado em campanhas de hacking anteriores.

Uma coisa a notar aqui é que o Instalador do Syncro também foi usado por atacantes de ameaças como LunaMoth. Além disso, o instalador do Syncro vem com um teste de 21 dias que possui a interface web completa e fornece controle total sobre o computador que tem o agente Syncro instalado.

Bem, uma vez que o agente Syncro está no computador do alvo/vítima, os atacantes de ameaças podem usá-lo para descartar um backdoor e começar a persistência e roubar dados também.

Alguns dos outros alvos do grupo Muddy Water nesta campanha incluem várias empresas de seguros em Israel e os atores de ameaças usaram as mesmas táticas, ou seja, hackeando uma conta de e-mail da empresa da indústria de hospitalidade israelense e, em seguida, enviando e-mails de phishing da conta de e-mail hackeada.

Para parecer com um seguro, o grupo de hackers adicionou o link do anexo HTML ao instalador do Syncro hospedado no OneDrive.

O e-mail de phishing foi escrito em hebraico (a língua nacional de Israel). Dito isso, os métodos do Muddy Water não são modernos. No entanto, o software/ferramentas disponíveis gratuitamente podem ser uma maneira eficaz para práticas de hacking.

Os atores de ameaças usam diferentes nomes, como Static Kiten, Cobalt Ulster e Mercury. Estão ativos desde 2017.

Leia: O Que Fazer Quando Você Perde a Internet: Solução Básica de Problemas de Conexão com a Internet