MuddyWater APT nutzt ScreenConnect, um Nahost-Regierungen auszuspionieren
Inhaltsverzeichnis:
Sicherheitsexperten von Anomali haben enthüllt eine gezielte Cyber-Spionage-Operation auf die Regierungen der Vereinigten Arabischen Emirate (VAE) und Kuwaits. Die bösartige Kampagne wurde von einem iranischen staatlich geförderten Akteur namens MuddyWater (Static Kitten, MERCURY, Seedworm) gestartet. Laut den Forschern nutzten die Angreifer das legitime Softwaretool ConnectWise Control (früher ScreenConnect), um sich lateral durch die kompromittierten Netzwerke zu bewegen und Malware an die Opfer zu liefern.
Angriffskette von MuddyWater
Die neue MuddyWater-Kampagne ist ein weiterer Schritt der laufenden böswilligen Aktivitäten, die darauf abzielen, die politischen Entscheidungen der VAE und Israels zu beeinflussen. Im Laufe des Jahres 2020 entwickelten sich die Beziehungen zwischen den beiden Regierungen in Richtung Normalisierung, was zu einer erhöhten Spannungen in der Region führte. Iran-verbundene Hacker griffen kontinuierlich das kuwaitische Außenministerium (MOFA) an, nachdem es die Absicht bekannt gegeben hatte, den Vermittlungsprozess zwischen Saudi-Arabien und Iran zu führen. Außerdem starteten MuddyWater-Bedrohungsakteure im Oktober 2020 Operation Quicksand um große israelische Anbieter zu kompromittieren.
Der neueste MuddyWater-Angriff auf Institutionen der VAE und Kuwait beginnt mit einer Phishing-E-Mail, die Köderdokumente im Anhang enthält. Die Dokumente fordern Benutzer dazu auf, den schädlichen Downloader-Links zu folgen, die, wenn sie angeklickt werden, die Opfer auf den Cloud-Speicher OneHub umleiten. Zwei separate dort gehostete ZIP-Dateien geben vor, ein Bericht über die Beziehungen zwischen VAE und Israel und eine Stipendienankündigung zu sein. Die Lures sind speziell ausgearbeitet, um von Interesse für Regierungsangestellte zu sein. Sobald sie geöffnet und ausgeführt werden, geben die Dateien die ConnectWise-Control-Nutzlast auf dem Gerät des Opfers frei.
ScreenConnect und OneHub für Cyber-Spionage missbraucht
Bedrohungsakteure verlassen sich zunehmend auf legitime Remote-Administrationstools, um ihre seitlichen Bewegungen und Erkundungsfähigkeiten zu verbessern. MuddyWater bleibt von diesem Trend nicht unberührt und missbraucht ScreenConnect, um seine Opfer auszuspionieren und bösartige ausführbare Dateien zu übermitteln.
ScreenConnect (nun von ConnectWise Inc. übernommen) ist eine voll funktionsfähige Fernwartungssoftware, die Fernüberwachung und -steuerung von Geräten von überall mit Internetverbindung ermöglicht. Während der neuesten MuddyWater-Kampagne wurde dieses Tool verwendet, um Beständigkeit zu erreichen, sich lateral durch das kompromittierte Netzwerk zu bewegen, die Kommunikation mit dem Server des Angreifers aufrechtzuerhalten und beliebige Befehle auszuführen, um Datenabwürfe und Cyber-Spionageaktivitäten zu erleichtern.
Ein weiterer legitimer Dienst, der während dieser Kampagne missbraucht wurde, ist die Cloud-Speicherung von OneHub. MuddyWater missbraucht OneHub zunehmend ab Operation QuickSand, als Angreifer es nutzten, um die bösartigen Nutzlasten zu speichern. Auch andere Bedrohungsakteure wurden beobachtet, die den Clouddienst für verschiedene bösartige Zwecke nutzen. Beispielsweise wurde OneHub in mehreren Malspam-Kampagnen verwendet, um die bösartigen Dateien zu hosten.
Erkennung bösartiger Aktivitäten
Um die proaktive Verteidigung gegen MuddyWater-Angriffe zu erleichtern, können Sie eine aktuelle Sigma-Regel von unserem Threat Bounty-Entwickler herunterladen Osman Demir:
https://tdm.socprime.com/tdm/info/XjR7cj7ALBDc/ufscp3cBR-lx4sDxS-vh/#rule-source-code
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
MITRE ATT&CK:
Taktiken: Entdeckung
Techniken: Abfrage des Registrierungsdatenbank (T1012), Systeminformationen entdecken (T1082)
Akteur: MuddyWater
Bleiben Sie auf dem Laufenden für weitere Blog-Updates, um die neuesten Erkennungen in Verbindung mit MuddyWater-Aktivitäten nicht zu verpassen.
Melden Sie sich beim Threat Detection Marketplace an und erreichen Sie die branchenführende SOC-Inhaltsbibliothek mit über 90.000 Erkennungs- und Reaktionsregeln. Die Datenbank bereichert sich täglich durch die gemeinsamen Bemühungen unserer internationalen Gemeinschaft von über 300 Sicherheitsakteuren. Möchten Sie Teil unserer Bedrohungsjagd-Initiativen werden? Treten Sie dem Threat Bounty Programm bei!
