El grupo de estado-nación iraní conocido como MuddyWater ha estado implicado en una nueva campaña que aprovechó cuentas de correo electrónico comprometidas para distribuir una puerta trasera llamada Phoenix a varias organizaciones en la región de Medio Oriente y África del Norte (MENA), incluidas más de 100 agencias gubernamentales.
La empresa de ciberseguridad de Singapur Group IB dijo en un informe técnico publicado hoy que el objetivo final de la campaña era penetrar objetivos de alto valor y facilitar la recopilación de inteligencia.
Más de las tres cuartas partes de los objetivos de la campaña incluyen embajadas, misiones diplomáticas, ministerios de Asuntos Exteriores y consulados, seguidos de organizaciones internacionales y empresas de telecomunicaciones.
«Muddywater accedió a buzones de correo comprometidos a través de NordVPN (un servicio legítimo explotado por actores de amenazas) y los utilizó para enviar correos electrónicos de phishing disfrazados de comunicaciones genuinas», dijeron los investigadores de seguridad Mahmoud Zoudi y Mansour Alhumud.
«Al explotar la confianza y la autoridad asociadas con dichas comunicaciones, esta campaña aumentó significativamente la probabilidad de engañar a los destinatarios para que abrieran archivos adjuntos maliciosos».
Básicamente, la cadena de ataque implica que el atacante distribuya un documento de Microsoft Word armado que, cuando se abre, solicita al destinatario del correo electrónico que habilite macros para ver el contenido. Cuando un usuario desprevenido habilita esta característica, el documento comienza a ejecutar código malicioso de Visual Basic para Aplicaciones (VBA), lo que resulta en la implementación de la versión 4 de la puerta trasera Phoenix.
La puerta trasera se inicia mediante un cargador llamado FakeUpdate que se decodifica y escribe en el disco mediante un cuentagotas VBA. El cargador contiene una carga útil de Phoenix cifrada con el Estándar de cifrado avanzado (AES).
Se considera que MuddyWater, también conocida como Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm (anteriormente conocida como Mercury), Seedworm, Static Kitten, TA450, TEMP.Zagros y Yellow Nix, está afiliada al Ministerio de Inteligencia y Seguridad de Irán (MOIS). Se sabe que ha estado activo desde al menos 2017.
El uso de Phoenix por parte del actor de amenazas fue documentado por primera vez por Group-IB el mes pasado, describiéndolo como una versión ligera de BugSleep, un implante basado en Python vinculado a MuddyWater. Se han detectado dos variantes diferentes de Phoenix (versión 3 y versión 4) en la naturaleza.
El proveedor de ciberseguridad dijo que también encontró que el servidor de comando y control (C2) del atacante (‘159.198.36(.)115’) alojaba una utilidad de administración y monitoreo remoto (RMM) y un ladrón de credenciales de navegador web personalizado dirigido a Brave, Google Chrome, Microsoft Edge y Opera, lo que sugiere que estos pueden haber sido utilizados en la operación. Vale la pena señalar que MuddyWater tiene una larga trayectoria en la distribución de software de acceso remoto a través de campañas de phishing.
«Al implementar variantes de malware actualizadas, como la puerta trasera Phoenix v4, el inyector FakeUpdate y herramientas personalizadas de robo de credenciales junto con utilidades RMM legítimas como PDQ y Action1, MuddyWater demostró una capacidad mejorada para integrar código personalizado con herramientas comerciales para mejorar el sigilo y la persistencia», dijeron los investigadores.
Source link
