Οι Ιρανοί hackers MuddyWater έχουν συνδεθεί με μια νέα εκστρατεία spear-phishing που στοχεύει δύο ισραηλινές οντότητες. Οι hackers εγκαθιστούν στα θύματα ένα νόμιμο εργαλείο απομακρυσμένης διαχείρισης της N-able, που ονομάζεται Advanced Monitoring Agent.
Η εταιρεία κυβερνοασφάλειας Deep Instinct, που ανακάλυψε τις νέες επιθέσεις, αναφέρει ότι η ομάδα MuddyWater χρησιμοποιεί τώρα πιο αναβαθμισμένα εργαλεία για τις επιθέσεις. Σύμφωνα με τους ερευνητές, η ομάδα είχε στο παρελθόν χρησιμοποιήσει παρόμοιες αλυσίδες επιθέσεων για τη διανομή άλλων εργαλείων απομακρυσμένης πρόσβασης, όπως τα ScreenConnect, RemoteUtilities, Syncro. και SimpleHelp.
Τώρα, είναι η πρώτη φορά που οι Ιρανοί hackers χρησιμοποιούν το λογισμικό απομακρυσμένης παρακολούθησης της N-able. Ωστόσο, η επιμονή των hackers στη χρήση τέτοιου είδους λογισμικών, δείχνει ότι αυτή η τεχνική είναι επιτυχημένη.
Δείτε επίσης: Βορειοκορεάτες hackers στοχεύουν blockchain engineers με το Kandykorn malware
Η Group-IB έχει, επίσης, επιβεβαιώσει τις νέες επιθέσεις της MuddyWater εναντίον ισραηλινών οντοτήτων.
Οι Ιρανοί hackers MuddyWater χρηματοδοτούνται από το ιρανικό κράτος και ασχολούνται με την κυβερνοκατασκοπεία. Λέγεται ότι είναι μέρος του Υπουργείου Πληροφοριών και Ασφάλειας του Ιράν (MOIS). Άλλες hacking ομάδες που συνδέονται με το MOIS είναι οι OilRig, Lyceum, Agrius και Scarred Manticore. Η MuddyWater δραστηριοποιείται τουλάχιστον από το 2017.
Σε προηγούμενες επιθέσεις, οι hackers έστελναν spear-phishing emails με κακόβουλους συνδέσμους και συνημμένα HTML, PDF και RTF που περιείχαν συνδέσμους για αρχεία που φιλοξενούνταν σε διάφορες πλατφόρμες κοινής χρήσης αρχείων και εγκαθιστούσαν τα παραπάνω εργαλεία απομακρυσμένης διαχείρισης.
Οι πιο πρόσφατες τακτικές και τα εργαλεία που χρησιμοποιούνται δείχνουν ότι οι hackers συνεχίζουν με την ίδια λογική, αλλά παράλληλα εξελίσσονται.
Αυτό που είναι διαφορετικό αυτή τη φορά είναι η χρήση μιας νέας υπηρεσίας κοινής χρήσης αρχείων που ονομάζεται Storyblok. Χρησιμοποιείται για την εκκίνηση μιας μόλυνσης πολλαπλών σταδίων.
Δείτε επίσης: Η FSB συνέλαβε hackers που βοηθούσαν την Ουκρανία
“Περιέχει κρυφά αρχεία, ένα αρχείο LNK που ξεκινά τη μόλυνση και ένα εκτελέσιμο αρχείο που έχει σχεδιαστεί για να αποκρύπτει ένα έγγραφο δόλωμα κατά την εκτέλεση του Advanced Monitoring Agent, ενός εργαλείου απομακρυσμένης διαχείρισης“, δήλωσε ο ερευνητής ασφαλείας Simon Kenin.
“Αφού το θύμα έχει μολυνθεί, οι hackers MuddyWater θα συνδεθούν με τον μολυσμένο κεντρικό υπολογιστή χρησιμοποιώντας το νόμιμο εργαλείο απομακρυσμένης διαχείρισης και θα αρχίσουν να ελέγχουν τον στόχο“.
Το έγγραφο δόλωμα που επιδεικνύεται στο θύμα είναι ένα επίσημο σημείωμα από την Επιτροπή Δημόσιας Διοίκησης του Ισραήλ, το οποίο μπορεί να ληφθεί δημόσια από την επίσημη ιστοσελίδα της.
Δείτε επίσης: Turla hackers: Νέα πιο επικίνδυνη έκδοση του Kazuar backdoor
MuddyWater επιθέσεις: Συνέπειες
Η επίθεση των Ιρανών hackers MuddyWater μπορούν να έχουν σοβαρές επιπτώσεις στην ασφάλεια του Ισραήλ. Οι επιτιθέμενοι χρησιμοποιούν καλά σχεδιασμένα email που πείθουν τα θύματα να ανοίξουν επικίνδυνα συνημμένα ή να κάνουν κλικ σε επιβλαβείς συνδέσμους. Αυτό μπορεί να οδηγήσει στην παραβίαση των συστημάτων και των δεδομένων τους.
Αυτές οι επιθέσεις μπορούν να έχουν επιπτώσεις στην οικονομία και την πολιτική του Ισραήλ. Οι επιτιθέμενοι μπορούν να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες, κάτι που θα έθετε σε κίνδυνο την εθνική ασφάλεια της χώρας.
Πηγή: thehackernews.com
