El APT MuddyWater Utiliza ScreenConnect para Espiar a los Gobiernos de Medio Oriente
Tabla de contenidos:
Expertos en seguridad de Anomali han revelado una operación de ciber-espionaje dirigida a los gobiernos de Emiratos Árabes Unidos (EAU) y Kuwait. La campaña maliciosa fue lanzada por un actor patrocinado por el estado iraní conocido como MuddyWater (Static Kitten, MERCURY, Seedworm). Según los investigadores, los adversarios se basaron en la herramienta de software legítima ConnectWise Control (anteriormente ScreenConnect) para moverse lateralmente a través de las redes comprometidas y entregar malware a las víctimas.
Cadena de Ataque MuddyWater
La nueva campaña de MuddyWater es un paso subsecuente de la actividad maliciosa en curso destinada a interferir con las decisiones políticas de EAU e Israel. A lo largo de 2020, las relaciones entre los dos gobiernos evolucionaron hacia la normalización, convirtiéndose en un terreno para el aumento de tensiones en la región. Los hackers vinculados a Irán atacaron continuamente el Ministerio de Asuntos Exteriores de Kuwait (MOFA) después de anunciar la intención de liderar el proceso de mediación entre Arabia Saudita e Irán. Además, en octubre de 2020, los actores de amenaza MuddyWater lanzaron Operación Quicksand para comprometer a los principales proveedores israelíes.
El último ataque de MuddyWater contra instituciones gubernamentales de EAU y Kuwait comienza con un correo electrónico de phishing que contiene documentos señuelo adjuntos. Los documentos incitan a los usuarios a seguir los enlaces de descarga maliciosos que, si se hace clic, redirigen a las víctimas al almacenamiento en la nube OneHub. Dos archivos ZIP separados alojados allí pretenden ser un informe sobre las relaciones EAU-Israel y un anuncio de becas. Los cebos están especialmente diseñados para ser de interés para los empleados gubernamentales. Una vez abiertos y ejecutados, los archivos dejan caer la carga útil de ConnectWise Control en el dispositivo de la víctima.
ScreenConnect y OneHub Abusados para el Ciber-Espionaje
Los actores de amenaza confían cada vez más en herramientas legítimas de administración remota para mejorar sus capacidades de movimiento lateral y reconocimiento. MuddyWater no se mantiene al margen de esta tendencia, abusando de ScreenConnect para espiar a sus víctimas y entregar ejecutables maliciosos.
ScreenConnect (ahora adquirida por ConnectWise Inc.) es un software de soporte remoto totalmente funcional que permite ver y controlar dispositivos de manera remota desde cualquier lugar con conexión a Internet. Durante la última campaña de MuddyWater, esta herramienta fue utilizada para lograr persistencia, moverse lateralmente a través de la red comprometida, mantener comunicación con el servidor del atacante y ejecutar comandos arbitrarios, facilitando la extracción de datos y actividades de ciber-espionaje.
Otro servicio legítimo abusado durante esta campaña es el almacenamiento en la nube OneHub. MuddyWater ha estado utilizando OneHub desde la Operación QuickSand, cuando los atacantes lo utilizaron para almacenar las cargas maliciosas. También se observó que otros actores de amenaza utilizaban el servicio en la nube para diversos propósitos maliciosos. Por ejemplo, OneHub fue utilizado en múltiples campañas de malspam para alojar los archivos maliciosos.
Detección de Actividad Maliciosa
Para facilitar la defensa proactiva contra ataques de MuddyWater, puede descargar una nueva regla Sigma de nuestro desarrollador de Threat Bounty Osman Demir:
https://tdm.socprime.com/tdm/info/XjR7cj7ALBDc/ufscp3cBR-lx4sDxS-vh/#rule-source-code
La regla tiene traducciones a las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black
MITRE ATT&CK:
Tácticas: Descubrimiento
Técnicas: Consulta del Registro (T1012), Descubrimiento de Información del Sistema (T1082)
Actor: MuddyWater
Mantente atento a más actualizaciones de blog para no perder las últimas detecciones relacionadas con las actividades de MuddyWater.
Regístrate en el Threat Detection Marketplace y accede a la biblioteca de contenido SOC líder en la industria con más de 90,000 reglas de Detección y Respuesta. La base de contenido se enriquece cada día con los esfuerzos conjuntos de nuestra comunidad internacional de más de 300 expertos en seguridad. ¿Quieres ser parte de nuestras iniciativas de caza de amenazas? Únete al Programa de Recompensas por Amenazas!
