MuddyWater APT utilizza ScreenConnect per spiare i governi del Medio Oriente

[post-views]
Febbraio 17, 2021 · 4 min di lettura
MuddyWater APT utilizza ScreenConnect per spiare i governi del Medio Oriente

Gli esperti di sicurezza di Anomali hanno rivelato un’operazione di cyber-spionaggio mirata ai governi degli Emirati Arabi Uniti (UAE) e del Kuwait. La campagna malevola è stata lanciata da un attore sponsorizzato dallo stato iraniano noto come MuddyWater (Static Kitten, MERCURY, Seedworm). Secondo i ricercatori, gli avversari si sono affidati allo strumento software legittimo ConnectWise Control (precedentemente ScreenConnect) per muoversi lateralmente attraverso le reti compromesse e consegnare malware alle vittime.

Catena di attacco MuddyWater

La nuova campagna MuddyWater è un successivo passo dell’attività malevola in corso volta a interferire con le decisioni politiche di UAE e Israele. Durante tutto il 2020, le relazioni tra i due governi si sono evolute verso la normalizzazione, diventando un terreno per crescenti tensioni nella regione. Gli hacker legati all’Iran hanno continuamente attaccato il Ministero degli Affari Esteri del Kuwait (MOFA) dopo che ha annunciato l’intenzione di guidare il processo di mediazione tra Arabia Saudita e Iran. Inoltre, nell’ottobre 2020, gli attori della minaccia MuddyWater hanno lanciato Operazione Quicksand per compromettere principali fornitori israeliani.

L’ultimo attacco MuddyWater contro le istituzioni governative di UAE e Kuwait inizia con un’email di phishing contenente documenti esca allegati. I documenti invitano gli utenti a seguire i link per il downloader malevolo che, se cliccati, reindirizzano le vittime allo storage cloud OneHub. Due file ZIP separati ospitati lì si spacciano per essere un rapporto sulle relazioni UAE-Israele e un annuncio di borsa di studio. Gli esche sono specificamente elaborati per essere di interesse per i dipendenti governativi. Una volta aperti ed eseguiti, i file rilasciano il payload Control ConnectWise sul dispositivo della vittima.

ScreenConnect e OneHub abusati per il cyber-spionaggio

Gli attori della minaccia si affidano sempre più agli strumenti legittimi di amministrazione remota per migliorare le loro capacità di movimento laterale e ricognizione. MuddyWater non si discosta da questa tendenza, abusando di ScreenConnect per spiare le sue vittime e distribuire eseguibili malevoli.

ScreenConnect (ora acquisito da ConnectWise Inc.) è un software di supporto remoto completamente funzionale che offre visualizzazione e controllo remoto dei dispositivi da qualsiasi luogo con connessione Internet. Durante l’ultima campagna MuddyWater, questo strumento è stato utilizzato per ottenere persistenza, muoversi lateralmente attraverso la rete compromessa, mantenere la comunicazione con il server dell’attaccante ed eseguire comandi arbitrari, facilitando l’esfiltrazione di dati e le attività di cyber-spionaggio.

Un altro servizio legittimo abusato durante questa campagna è lo storage cloud OneHub. MuddyWater abusa sempre più di OneHub a partire dall’Operazione QuickSand, quando gli attaccanti lo hanno sfruttato per memorizzare i payload malevoli. Anche altri attori della minaccia sono stati individuati ad utilizzare il servizio cloud per vari scopi malevoli. Ad esempio, OneHub è stato utilizzato in diverse campagne malspam per ospitare i file malevoli.

Rilevamento di attività malevola

Per facilitare la difesa proattiva contro gli attacchi MuddyWater, potresti scaricare una nuova regola Sigma dal nostro sviluppatore Threat Bounty Osman Demir:

https://tdm.socprime.com/tdm/info/XjR7cj7ALBDc/ufscp3cBR-lx4sDxS-vh/#rule-source-code

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black

MITRE ATT&CK:

Tattiche: Scoperta

Tecniche: Query del Registro (T1012), Scoperta Informazioni Sistema (T1082)

Attore: MuddyWater

Restate sintonizzati per ulteriori aggiornamenti del blog per non perdere le ultime rilevazioni relative alle attività MuddyWater.

Iscriviti a Threat Detection Marketplace e raggiungi la libreria di contenuti SOC leader del settore con oltre 90.000 regole di Rilevazione e Risposta. La base di contenuti si arricchisce ogni giorno con gli sforzi congiunti della nostra comunità internazionale di oltre 300 professionisti della sicurezza. Vuoi far parte delle nostre iniziative di threat hunting? Unisciti al Programma Threat Bounty!

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Blog, Ultime Minacce — 4 min di lettura
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Veronika Telychko
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Blog, Ultime Minacce — 5 min di lettura
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Veronika Telychko