MuddyWater APTがScreenConnectを使用して中東の政府をスパイ

Anomaliのセキュリティ専門家は 明らかにしました アラブ首長国連邦（UAE）とクウェート政府を標的としたサイバースパイ活動を行っていることを示しています。この悪意のあるキャンペーンは、MuddyWater（Static Kitten、MERCURY、Seedworm）として知られるイランの国家支援アクターによって開始されました。研究者によると、敵対者は正規のソフトウェアツールであるConnectWise Control（旧称ScreenConnect）を利用して、侵害されたネットワークを横断して移動し、被害者にマルウェアを届けました。

MuddyWater攻撃キルチェーン

新たなMuddyWaterキャンペーンは、UAEとイスラエルの政治的決定に干渉することを目的とした継続的な悪意のある活動の次のステップです。2020年を通じて、両政府間の関係は正常化に向かって進化し、地域での緊張が高まりました。イランにリンクされたハッカーは、クウェート外務省（MOFA）がサウジアラビアとイランの間の調停プロセスを主導する意向を発表した後、継続的に攻撃しました。また、2020年10月には、MuddyWaterの脅威アクターが オペレーションクイックサンド を開始し、主要なイスラエルのベンダーを攻撃しました。

UAEとクウェートの政府機関に対する最新のMuddyWater攻撃は、デコイドキュメントが添付されたフィッシングメールで始まります。これらのドキュメントは、ユーザーに悪意のあるダウンローダーリンクをたどるよう促し、クリックすると、被害者をOneHubクラウドストレージにリダイレクトします。そこにホストされた2つの別々のZIPファイルは、UAEとイスラエルの関係についての報告書と奨学金発表として偽装されています。これらの誘惑は、政府職員にとって関心のある内容に特別に作成されています。一度開かれて実行されると、ファイルはConnectWise Controlのペイロードを被害者のデバイスにドロップします。

ScreenConnectとOneHubがサイバースパイ活動に悪用

脅威アクターは、正規のリモート管理ツールをますます利用し、その横移動と偵察の能力を強化しています。MuddyWaterもこのトレンドを放置せず、ScreenConnectを悪用して被害者を監視し、悪意のある実行ファイルを配信しています。

ScreenConnect（現在はConnectWise Inc.に買収）は、インターネット接続があればどこからでもデバイスをリモート視聴および制御できる完全なリモートサポートソフトウェアです。最新のMuddyWaterキャンペーン中、このツールは永続性を実現し、侵害されたネットワークを横断して移動し、攻撃者のサーバーと通信を維持し、任意のコマンドを実行してデータのダンピングやサイバースパイ活動を促進しました。

このキャンペーン中に悪用されたもう一つの正規サービスはOneHubクラウドストレージです。MuddyWaterはオペレーションクイックサンドからOneHubの悪用を増やし始め、攻撃者はそこに悪意のあるペイロードを保存しました。他の脅威アクターもさまざまな悪意のある目的でこのクラウドサービスを利用していることが確認されています。例えば、OneHubは多くのマルスパムキャンペーンで悪意のあるファイルをホストするために使用されました。

悪意のある活動の検出

MuddyWater攻撃に対するプロアクティブな防御を支援するために、新しいシグマルールをThreat Bounty開発者からダウンロードしてみてください オスマン・デミル:

https://tdm.socprime.com/tdm/info/XjR7cj7ALBDc/ufscp3cBR-lx4sDxS-vh/#rule-source-code

ルールは以下のプラットフォームに翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black

MITRE ATT&ACK:

タクティクス: ディスカバリー

テクニック: レジストリクエリ (T1012), システム情報のディスカバリー (T1082)

アクター: MuddyWater

MuddyWater活動に関連する最新の検出情報を見逃さないよう、ブログの更新に注目してください。

脅威検出マーケットプレイスにサインアップ して、90,000以上の検出と応答のルールを持つ業界トップのSOCコンテンツライブラリにアクセスしてください。コンテンツベースは、300人以上の国際的なセキュリティ実行者の共同の努力によって毎日豊かになります。私たちの脅威ハンティングイニシアチブの一部になりたいですか？ 脅威バウンティプログラムに参加!