Иранский государственный деятель, известный как MuddyWater, был связан с новой фишинг-кампанией, нацеленной на две израильские организации, чтобы в конечном итоге внедрить законный инструмент удаленного администрирования от N-able под названием Advanced Monitoring Agent.
Фирма по кибербезопасности Deep Instinct, которая раскрыла подробности атак, заявила, что кампания "демонстрирует обновленные TTP по сравнению с ранее зарегистрированной активностью MuddyWater", которая в прошлом использовала аналогичные цепочки атак для распространения других инструментов удаленного доступа, таких как ScreenConnect, RemoteUtilities, Syncro и SimpleHelp.
Хотя последняя разработка знаменует собой первый случай наблюдения за MuddyWater с помощью программного обеспечения удаленного мониторинга N-able, это также подчеркивает тот факт, что практически неизменный способ работы продолжает обеспечивать определенный уровень успеха для субъекта угрозы.
Выводы также были отдельно подтверждены в компании по кибербезопасности Group-IB в сообщении, опубликованном на X (ранее Twitter).
Спонсируемая государством группа представляет собой команду кибершпионажа, которая, как говорят, является подчиненным элементом Министерства разведки и безопасности Ирана (MOIS), присоединяясь к другим группам, связанным с MOIS, таким как OilRig, Лицей, Agrius и Покрытая шрамами Мантикора. Он активен как минимум с 2017 года.
Предыдущие серии атак включали в себя фишинговые электронные письма mission с прямыми ссылками, а также вложения в формате HTML, PDF и RTF, содержащие ссылки на архивы, размещенные на различных платформах обмена файлами, которые в конечном итоге отключают один из вышеупомянутых инструментов удаленного администрирования.
Новейшие тактики и инструменты представляют собой в некотором смысле продолжение, а в других отношениях эволюцию группы, по-разному известной как Mango Sandstorm и Static Kitten.
Что отличается на этот раз, так это использование нового сервиса обмена файлами под названием Storyblok для инициирования многоступенчатого заражения.
"Он содержит скрытые файлы, файл LNK, который инициирует заражение, и исполняемый файл, предназначенный для отображения документа-приманки при запуске Advanced Monitoring Agent, инструмента удаленного администрирования", - сказал исследователь безопасности Саймон Кенин в анализе в среду.
"После того, как жертва будет заражена, оператор MuddyWater подключится к зараженному хосту с помощью законного инструмента удаленного администрирования и начнет проводить разведку цели".
Документ-приманка, который демонстрируется жертве, представляет собой официальную памятку Комиссии по гражданской службе Израиля, которую можно публично загрузить с ее официального веб-сайта.
В качестве еще одного признака быстрого совершенствования кибернетических возможностей Ирана Deep Instinct сообщила, что также обнаружила участников MuddyWater, использующих новую платформу командования и контроля (C2) под названием MuddyC2Go, преемницу MuddyC3 и PhonyC2.
