El grupo Iran-Linked MuddyWater usa Atera para vigilancia en ataques de phishing

En marzo de 2024, un actor de amenazas vinculado a Irán llamado MuddyWater (también conocido como Mango Sandstorm o TA450) llevó a cabo un ataque de phishing utilizando la herramienta de monitoreo y administración remota (RMM) Atera. El ataque pretendía afectar a empresas israelíes en los sectores de fabricación, tecnología y seguridad de la información. Según Proofpoint, MuddyWater envió correos electrónicos con archivos PDF adjuntos que contenían enlaces maliciosos, usando una táctica nueva que consiste en incluir enlaces maliciosos directamente en los correos electrónicos. El grupo de hackers ha estado bajo escrutinio desde finales de octubre de 2023 por dirigir ataques contra organizaciones israelíes y se sabe que ha utilizado herramientas legítimas de escritorio remoto como N-able, ScreenConnect, RemoteUtilities, Syncro y SimpleHelp para alcanzar sus objetivos.

El ataque de MuddyWater incluyó la inserción de enlaces a archivos alojados en sitios de intercambio de archivos como Egnyte, Onehub, Sync y TeraBox. Se afirma que algunos de los correos electrónicos con temática de pago fueron enviados desde una cuenta de correo electrónico comprometida asociada al dominio «co.il» (Israel). Al hacer clic en el enlace del archivo PDF del señuelo, se recupera un archivo instalador MSI contenido en un archivo ZIP que instala el agente de Atera en el sistema comprometido. Este grupo de hackers ha utilizado el agente de Atera desde julio de 2022.

MuddyWater cambió su táctica mientras el grupo de hacktivistas iraníes Lord Nemesis atacaba el sector académico israelí. Lord Nemesis ha violado un proveedor de servicios de software llamado Rashim Software en un ataque de cadena de suministro de software. Según Op Innovate, el grupo de hacktivistas utilizó las credenciales obtenidas en la violación de Rashim para infiltrarse en varios clientes de la compañía, incluyendo numerosos institutos académicos. También se cree que obtuvieron información confidencial. Lord Nemesis aprovechó el acceso no autorizado que obtuvo a través de la infraestructura de Rashim y tomó el control de la cuenta de administrador, aprovechando las protecciones de autenticación multifactorial insuficientes de la compañía para obtener datos personales. En marzo de 2024, el grupo envió correos electrónicos a más de 200 de sus clientes, detallando el alcance del incidente. El ataque destaca el riesgo significativo que los proveedores y socios externos pueden representar en un ataque de cadena de suministro. El investigador de seguridad Roy Golombick destaca la creciente amenaza de los actores estatales que buscan como objetivo a pequeñas empresas con el fin de promover sus agendas geopolíticas.

Vía The Hacker News