MuddyWater APT Uses ScreenConnect to Spy on Middle East Governments

[post-views]
Fevereiro 17, 2021 · 4 min de leitura
MuddyWater APT Uses ScreenConnect to Spy on Middle East Governments

Especialistas em segurança da Anomali revelaram revelaram uma operação de ciberespionagem direcionada aos governos dos Emirados Árabes Unidos (EAU) e do Kuwait. A campanha maliciosa foi lançada por um ator patrocinado pelo Estado iraniano conhecido como MuddyWater (Static Kitten, MERCURY, Seedworm). De acordo com os pesquisadores, os adversários fizeram uso da ferramenta de software legítima ConnectWise Control (anteriormente ScreenConnect) para mover-se lateralmente nas redes comprometidas e entregar malware às vítimas.

Cadeia de Ataque MuddyWater

A nova campanha MuddyWater é um passo subsequente da atividade maliciosa contínua visando interferir nas decisões políticas dos EAU e Israel. Ao longo de 2020, as relações entre os dois governos evoluíram em direção à normalização, tornando-se um terreno para tensões aumentadas na região. Hackers ligados ao Irã atacaram continuamente o Ministério dos Negócios Estrangeiros do Kuwait (MOFA) após este anunciar a intenção de liderar o processo de mediação entre Arábia Saudita e Irã. Além disso, em outubro de 2020, os atores da ameaça MuddyWater lançaram Operação Areia Movediça para comprometer grandes fornecedores israelenses.

O mais recente ataque MuddyWater contra instituições governamentais dos EAU e Kuwait começa com um e-mail de phishing contendo documentos de isca anexados. Os documentos pedem aos usuários para seguir os links de downloader maliciosos que, se clicados, redirecionam as vítimas para o armazenamento em nuvem OneHub. Dois arquivos ZIP separados hospedados lá pretendem ser um relatório sobre as relações EAU-Israel e um anúncio de bolsa de estudos. As iscas são especificamente elaboradas para ser de interesse dos funcionários do governo. Uma vez abertos e executados, os arquivos soltam o payload do ConnectWise Control no dispositivo da vítima.

ScreenConnect e OneHub Abusados para Ciberespionagem

Atores da ameaça cada vez mais dependem de ferramentas legítimas de administração remota para melhorar suas capacidades de movimentação lateral e reconhecimento. MuddyWater não fica de fora dessa tendência, abusando do ScreenConnect para espionar suas vítimas e entregar executáveis maliciosos.

ScreenConnect (agora adquirido pela ConnectWise Inc.) é um software de suporte remoto totalmente funcional que permite visualização remota e controle de dispositivos de qualquer lugar com conexão à Internet. Durante a campanha mais recente do MuddyWater, essa ferramenta foi usada para alcançar persistência, mover-se lateralmente pela rede comprometida, manter comunicação com o servidor do atacante e executar comandos arbitrários, facilitando a captura de dados e atividades de ciberespionagem.

Outro serviço legítimo abusado durante esta campanha é o armazenamento em nuvem OneHub. O MuddyWater cada vez mais abusa do OneHub começando pela Operação Areia Movediça, quando os atacantes o usaram para armazenar os payloads maliciosos. Outros atores da ameaça também foram vistos utilizando o serviço em nuvem para vários propósitos maliciosos. Por exemplo, o OneHub foi usado em várias campanhas de malspam para hospedar os arquivos maliciosos.

Detectando Atividades Maliciosas

Para facilitar a defesa proativa contra ataques MuddyWater, você pode baixar uma nova regra Sigma de nosso desenvolvedor do Threat Bounty Osman Demir:

https://tdm.socprime.com/tdm/info/XjR7cj7ALBDc/ufscp3cBR-lx4sDxS-vh/#rule-source-code

A regra tem traduções para as seguintes plataformas: 

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

EDR: Carbon Black

MITRE ATT&CK: 

Táticas: Descoberta 

Técnicas: Consulta de Registro (T1012), Descoberta de Informações do Sistema (T1082)

Ator: MuddyWater

Fique atento para mais atualizações no blog para não perder as últimas detecções relacionadas às atividades do MuddyWater.

Inscreva-se no Threat Detection Marketplace e acesse a principal biblioteca de conteúdo SOC do setor com mais de 90.000 regras de Detecção e Resposta. A base de conteúdo é enriquecida todos os dias com os esforços conjuntos de nossa comunidade internacional de mais de 300 profissionais de segurança. Quer se tornar parte de nossas iniciativas de caça a ameaças? Junte-se ao Programa Threat Bounty!

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Veronika Telychko
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Veronika Telychko
Detecção de Backdoor TorNet: Uma Campanha de Phishing Contínua Usa Malware PureCrypter para Descarregar Outros Cargas
Ameaças Mais Recentes, Blog — 6 min de leitura
Detecção de Backdoor TorNet: Uma Campanha de Phishing Contínua Usa Malware PureCrypter para Descarregar Outros Cargas
Veronika Telychko