El grupo iraní de ciberespionaje MuddyWater está pasando de controlar sistemas infectados con software legítimo de gestión remota a instalar un implante de puerta trasera hecho a medida.
En abril pasado, el grupo ya había infectado sistemas atacando servidores expuestos a Internet o mediante phishing, hasta la instalación de las plataformas de gestión remota SimpleHelp o Atera, informó en un comunicado el proveedor de servicios de seguridad Sekoia. Sin embargo, en junio, el grupo optó por otra cadena de ataque: enviar un archivo PDF malicioso con un enlace incrustado que conduce a un archivo almacenado en el servicio Egnyte, que instala la nueva puerta trasera, denominada MuddyRot por Sekoia.
Check Point Software también tomó nota de la adopción de la nueva herramienta. MuddyWater ha estado utilizando el implante de puerta trasera, que la compañía llama BugSleep, desde mayo, y lo ha mejorado rápidamente con nuevas funciones y correcciones de errores, dice Sergey Shykevich, jefe del grupo de inteligencia de amenazas de Check Point Software.
A menudo, también introducen nuevos errores en el malware. “Probablemente se dieron cuenta de que su táctica de utilizar herramientas de administración remota como puerta trasera no era lo suficientemente efectiva y decidieron cambiar rápidamente a malware casero”, dice Shykevich. “Probablemente debido a la presión por un cambio rápido, publicaron una versión incompleta. »
Irán se ha convertido en un importante actor de amenazas cibernéticas en Medio Oriente. Desde al menos 2018, el grupo de amenazas MuddyWater se ha dirigido a varias agencias gubernamentales e industrias críticas con ataques maliciosos, según un aviso de 2022 emitido conjuntamente por agencias gubernamentales de EE. UU. y el Reino Unido. MuddyWater Group es parte del Ministerio de Inteligencia y Seguridad de Irán (MOIS), y otras empresas de ciberseguridad se refieren al grupo como Earth Vetala, MERCURY, Static Kitten, Seedworm y TEMP.Zagros. según el comité asesor conjunto.
Una herramienta de ataque en construcción
La puerta trasera BugSleep utiliza tácticas anti-escaneo clásicas, como retrasar la ejecución (es decir, dormir) para evitar la detección o ejecutarse en una zona de pruebas. La puerta trasera también utiliza cifrado, pero en muchos casos el cifrado no se ejecutó correctamente.
Los problemas de cifrado no son los únicos errores del código. En otros ejemplos, el programa crea un archivo, “a.txt”, y luego lo elimina, aparentemente sin ningún motivo. Estos problemas, junto con las frecuentes actualizaciones, sugieren que el código aún está en desarrollo. dijo la revisión del software Check Point.
MuddyWater había creado previamente sus propios programas de puerta trasera, como uno llamado Powerstats, escrito en PowerShell, pero luego pasó a utilizar software de gestión remota (RMM), señaló el asesor de Sekoia.
“Aún no sabemos por qué los operadores de MuddyWater recurrieron a un implante casero para la primera etapa de infección al menos en una campaña”. el aviso indicado“Es probable que un mayor escrutinio de las herramientas RMM por parte de los proveedores de seguridad, luego de un mayor uso indebido por parte de actores maliciosos, haya influido en este cambio. »
El uso de un servicio para compartir archivos como Egnyte para alojar documentos maliciosos se ha vuelto cada vez más popular entre los atacantes. El período de prueba suele ser suficiente para darles a los atacantes una plataforma para usar en un ataque, dice Shykevich de Check Point Software.
“Los piratas informáticos utilizan muchas plataformas para compartir archivos en sus cadenas de infección”, explica. “En teoría, emular y analizar archivos descargados puede reducir el uso malicioso, pero esto es bastante complicado desde el punto de vista operativo y financiero para los operadores de servicios de intercambio de archivos. »
“Paraguas del PTA” en Medio Oriente
Los señuelos utilizados en las campañas de phishing del grupo se han vuelto más simples, centrándose en “temas genéricos como seminarios web y cursos en línea”, lo que les permite enviar un mayor volumen de ataques, según la reseña de Check Point Software.
“Su nivel de sofisticación es promedio, pero son un grupo muy persistente y agresivo en términos de campañas de phishing y dirigidas a industrias u organizaciones específicas”, dice Shykevich. “Envían cientos de correos electrónicos maliciosos a múltiples destinatarios de la misma organización o industria en días diferentes. »
Sin embargo, puede que MuddyWater no sea una banda única. En 2022, el grupo de inteligencia de amenazas de Cisco, Talos, los describió como un “paraguas de grupos APT”. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) describe al grupo como “un grupo de actores de amenazas persistentes avanzadas (APT) patrocinados por el gobierno iraní”. en su opinión consultiva.
El grupo utiliza “phishing dirigido, explotación de vulnerabilidades conocidas públicamente y explotación de múltiples herramientas de código abierto para obtener acceso a redes gubernamentales y comerciales sensibles”, dijo CISA, y agregó: “Los actores de MuddyWater están posicionados tanto para proporcionar datos robados como para acceder a gobierno iraní y compartirlo con otros actores cibernéticos maliciosos. »
Si bien el grupo se centra en ataques a organizaciones en Israel y Arabia Saudita, también ha atacado a otros países, incluidos India, Jordania, Portugal, Turquía e incluso Azerbaiyán, según avisos.