El actor de amenazas afiliado a Irán rastreado como FangosoAgua (también conocido como Mango Sandstorm o TA450) se ha vinculado a una nueva campaña de phishing en marzo de 2024 que tiene como objetivo ofrecer una solución legítima de gestión y monitoreo remoto (RMM) llamada Atera.
La actividad, que tuvo lugar desde el 7 de marzo hasta la semana del 11 de marzo, estuvo dirigida a entidades israelíes que abarcan los sectores globales de fabricación, tecnología y seguridad de la información, dijo Proofpoint.
«TA450 envió correos electrónicos con archivos adjuntos PDF que contenían enlaces maliciosos», la empresa de seguridad empresarial dicho. «Si bien este método no es ajeno a TA450, el actor de amenazas ha dependido más recientemente de incluir enlaces maliciosos directamente en los cuerpos de los mensajes de correo electrónico en lugar de agregar este paso adicional».
MuddyWater se ha atribuido a ataques dirigidos contra organizaciones israelíes desde finales de octubre de 2023, con hallazgos previos de Deep Instinct. descubriendo el uso por parte del actor de amenazas de otra herramienta de administración remota de N-able.
Esta no es la primera vez que el adversario –que se considera afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOIS)– ha sido el centro de atención por su dependencia de software de escritorio remoto legítimo para cumplir sus objetivos estratégicos. También se ha observado que utiliza ScreenConnect, RemoteUtilities, Syncro y SimpleHelp.
Las últimas cadenas de ataques implican que MuddyWater incorpore enlaces a archivos alojados en sitios para compartir archivos como Egnyte, Onehub, Sync y TeraBox. Se dice que algunos de los mensajes de phishing con temática de pago fueron enviados desde una cuenta de correo electrónico probablemente comprometida y asociada con el dominio «co.il» (Israel).
En la siguiente etapa, hacer clic en el enlace presente en el documento PDF señuelo conduce a la recuperación de un archivo ZIP que contiene un archivo de instalación MSI que finalmente instala Atera Agent en el sistema comprometido. Uso de MuddyWater del agente Atera se remonta a a julio de 2022.
El cambio en las tácticas de MuddyWater se produce cuando un grupo hacktivista iraní llamado Lord Nemesis se ha dirigido al sector académico israelí al violar un proveedor de servicios de software llamado Rashim Software en lo que es un ataque a la cadena de suministro de software.
«Lord Nemesis supuestamente utilizó las credenciales obtenidas de la violación de Rashim para infiltrarse en varios de los clientes de la empresa, incluidos numerosos institutos académicos», Op Innovate dicho. «El grupo afirma haber obtenido información confidencial durante la violación, que podrían utilizar para futuros ataques o para ejercer presión sobre las organizaciones afectadas».
Se cree que Lord Nemesis utilizó el acceso no autorizado que obtuvo a la infraestructura de Rashim al secuestrar la cuenta de administrador y aprovechar las protecciones inadecuadas de autenticación multifactor (MFA) de la empresa para recopilar datos personales de interés.
También envió mensajes de correo electrónico a más de 200 de sus clientes el 4 de marzo de 2024, cuatro meses después de que se produjera la infracción inicial, detallando el alcance del incidente. No se reveló el método exacto por el cual el actor de amenazas obtuvo acceso a los sistemas de Rashim.
«El incidente pone de relieve los importantes riesgos que plantean los proveedores y socios externos (ataque a la cadena de suministro)», dijo el investigador de seguridad Roy Golombick. «Este ataque pone de relieve la creciente amenaza de que los actores de los Estados-nación apunten a empresas más pequeñas y con recursos limitados como medio para promover sus agendas geopolíticas».
«Al comprometer con éxito la cuenta de administrador de Rashim, el grupo Lord Nemesis evitó efectivamente las medidas de seguridad implementadas por numerosas organizaciones, otorgándose privilegios elevados y acceso sin restricciones a sistemas y datos confidenciales».