O ator estatal iraniano conhecido como MuddyWater foi observado usando um backdoor nunca antes visto como parte de uma campanha de ataque recente, abandonando sua tática bem conhecida de implantar software program legítimo de monitoramento e gerenciamento remoto (RMM) para manter acesso persistente.
Isso está de acordo com descobertas independentes das empresas de segurança cibernética Verify Level e Sekoia, que deram o codinome à cepa de malware Sono de Inseto e Podridão lamacentarespectivamente.
“Comparado a campanhas anteriores, desta vez a MuddyWater mudou sua cadeia de infecção e não confiou na ferramenta legítima de monitoramento e gerenciamento remoto (RRM) da Atera como validadora”, disse Sekoia em um relatório compartilhado com o The Hacker Information. “Em vez disso, observamos que eles usaram um implante novo e não documentado.”
Alguns elementos da campanha foram compartilhados pela primeira vez pela empresa israelense de segurança cibernética ClearSky em 9 de junho de 2024. Os alvos incluem países como Turquia, Azerbaijão, Jordânia, Arábia Saudita, Israel e Portugal.
MuddyWater (também conhecido como Boggy Serpens, Mango Sandstorm e TA450) é um agente de ameaças patrocinado pelo estado que é considerado afiliado ao Ministério de Inteligência e Segurança do Irã (MOIS).
Os ataques cibernéticos realizados pelo grupo têm sido bastante consistentes, aproveitando iscas de spear-phishing em mensagens de e-mail para entregar várias ferramentas de RMM, como Atera Agent, RemoteUtilities, ScreenConnect, SimpleHelp e Syncro.
No início de abril, a HarfangLab disse que notou um aumento nas campanhas da MuddyWater entregando o Atera Agent desde o closing de outubro de 2023 para empresas em Israel, Índia, Argélia, Turquia, Itália e Egito. Os setores visados incluem companhias aéreas, empresas de TI, telecomunicações, farmacêutica, fabricação automotiva, logística, viagens e turismo.
“A MuddyWater dá alta prioridade ao acesso a contas de e-mail comerciais como parte de suas campanhas de ataque em andamento”, observou a empresa francesa de segurança cibernética na época.
“Essas contas comprometidas servem como recursos valiosos, permitindo que o grupo aumente a credibilidade e a eficácia de seus esforços de spear-phishing, estabeleça persistência dentro das organizações visadas e evite a detecção ao se misturar ao tráfego de rede legítimo.”
As últimas cadeias de ataque não são diferentes, pois contas de e-mail comprometidas pertencentes a empresas legítimas são usadas para enviar mensagens de spear-phishing que contêm um hyperlink direto ou um anexo em PDF apontando para um subdomínio Egnyte, que foi usado anteriormente pelo agente da ameaça para propagar o Atera Agent.
BugSleep, também conhecido como MuddyRot, é um implante x64 desenvolvido em C que vem equipado com capacidades para baixar/carregar arquivos arbitrários de/para o host comprometido, iniciar um shell reverso e configurar persistência. As comunicações com um servidor de comando e controle (C2) ocorrem por meio de um soquete TCP bruto na porta 443.
“A primeira mensagem a ser enviada ao C2 é a impressão digital do host da vítima, que é a combinação do nome do host e do nome de usuário unidos por uma barra”, disse Sekoia. “Se a vítima recebeu '-1', o programa para, caso contrário, o malware entra em um loop infinito para aguardar uma nova ordem do C2.”
Atualmente, não está claro por que a MuddyWater passou a usar um implante personalizado, embora se suspeite que o aumento do monitoramento de ferramentas RMM por fornecedores de segurança possa ter contribuído.
“O aumento da atividade do MuddyWater no Oriente Médio, particularmente em Israel, destaca a natureza persistente desses agentes de ameaças, que continuam operando contra uma ampla variedade de alvos na região”, disse a Verify Level.
“O uso consistente de campanhas de phishing, agora incorporando um backdoor personalizado, o BugSleep, marca um desenvolvimento notável em suas técnicas, táticas e procedimentos (TTPs).”
