El grupo estatal iraní MuddyWater ha sido visto utilizando una nueva puerta trasera en una reciente campaña, en lugar de su táctica habitual de desplegar software legítimo para mantener acceso persistente.
Check Point y Sekoia han identificado esta puerta trasera como BugSleep y MuddyRot, respectivamente.
Según Sekoia, en esta ocasión, MuddyWater cambió su cadena de infección y no se basó en la herramienta de monitoreo y gestión remota (RRM) como validador, sino que utilizó un implante nuevo y no documentado.
ClearSky compartió algunos detalles de la campaña, señalando que los objetivos incluyen países como Turquía, Azerbaiyán, Jordania, Arabia Saudita, Israel y Portugal.
MuddyWater es conocido por su afiliación al Ministerio de Inteligencia y Seguridad de Irán (MOIS) y por su uso de señuelos de spear-phishing en mensajes de correo electrónico.
El grupo da alta prioridad al acceso a cuentas de correo electrónico corporativas y ha estado atacando a empresas en varios sectores, incluyendo aerolíneas, compañías de TI, empresas de telecomunicaciones, farmacéuticas, fabricación de automóviles, logística, viajes y turismo.
Se han observado campañas recientes que utilizan cuentas de correo electrónico comprometidas en mensajes de spear-phishing que contienen enlaces directos o archivos PDF.
BugSleep es un implante x64 que viene equipado con capacidades para descargar/cargar archivos arbitrarios, abrir un shell inverso y establecer persistencia. Las comunicaciones con un servidor de control y comando (C2) se realizan a través de un socket TCP crudo en el puerto 443.
Según Sekoia, actualmente no está claro por qué MuddyWater ha cambiado a usar un implante personalizado, aunque el aumento del monitoreo de las herramientas RMM por parte de los proveedores de seguridad puede haber influido en esta decisión.
Check Point enfatizó que el uso constante de campañas de phishing, que ahora incorporan una puerta trasera personalizada, marca un desarrollo notable en las técnicas, tácticas y procedimientos (TTP) del grupo.
Vía The Hacker News
