کمپین جدید MuddyWater و استفاده از ابزار‌های قانونی مدیریت از راه دور برای استقرار بدافزار

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir muddywater campaign legit remote admin 1
مجموعه Deep Instinct یک کمپین تهدید جدید MuddyWater را شناسایی کرده است که حداقل از سال ٢٠١٧ فعال است، و اغلب کمپین‌هایی را علیه اهداف با ارزش و مهم در کشور‌های آمریکایی، اروپایی و آسیایی انجام می‌دهد.

کمپین MuddyWater، همچنین به‌عنوان MERCURY یا Static Kitten شناخته می‌شود که یک گروه APT است و اخیرا بنا بر ادعا‌های فرماندهی سایبری ایالات متحده، به وزارت اطلاعات و امنیت ایران (MOIS) نسبت داده شده است.

کمپین جدید گروه مادی وا‌تر
مطالعات قبلی نشان داده است که در ٢٠٢٠، MuddyWater ایمیل‌های spearphishing را با پیوند‌های مستقیم و همچنین پیوست‌های PDF و RTF حاوی لینک‌هایی به آرشیو‌های میزبانی شده در ws[.]onehub[.]com ارسال کرد.

این آرشیو‌ها حاوی نصب کننده «RemoteUtilities» بودند که یک ابزار قانونی مدیریت از راه دور است.

takian.ir muddywater campaign legit remote admin 2

در ابتدای سال ٢٠٢١، ایمیل‌های Spearphishing ارسال شده توسط MuddyWater حاوی لینک‌های مستقیم یا فایل‌های Word با اتصال به آرشیو بودند.

محقق Deep Instinct توضیح داد : «یک فایل بالقوه مربوط به این کمپین مشاهده شد، اما حاوی Atera Agent به‌جای ScreenConnect معمولی بود، که احتمالا به عامل تهدید هشدار می‌داد که فرایند را به ابزار مدیریت راه دور دیگری تغییر بدهد تا از شناسایی کمپین طولانی‌مدت خود جلوگیری کند».

علاوه بر این، معرفی یک ابزار جدید مدیریت از راه دور با نام "Syncro" این کمپین را از موج کمپین‌های قبلی متمایز می‌کند.

ابزار Syncro یک پلتفرم با امکانات کامل برای ارائه‌دهندگان خدمات مدیریت شده یا Managed Service Provider‌ها (MSP) است تا کسب‌و‌کار خود را اداره کنند. Syncro یک عامل برای MSP‌ها فراهم می‌کند تا هر دستگاهی را که Syncro را با فایل MSI ارائه‌شده سفارشی نصب کرده است، مدیریت کند.

همراه با نصب هاست‌های اضافی برای آرشیو‌های حاوی نصب‌کننده‌های ابزار مدیریت از راه دور، موارد فریبنده جدیدی در قالب پیوست HTML مشاهده شده است.

takian.ir muddywater campaign legit remote admin 3

این ایمیل از یک شرکت هاستینگ داده مصری ارسال شده است. این بار، MuddyWater آرشیو را با نصب Syncro با استفاده از Dropbox میزبانی کرده است.

takian.ir muddywater campaign legit remote admin 4
در این مورد، MuddyWater ایمیل دیگری را از همان آدرس یک شرکت هاستینگ مصری برای یک شرکت هاستینگ مصری دیگر در همان روز ارسال کرد. ایمیل با یک پیوست HTML ارسال شده است، پیوست یک آرشیو یا یک فایل اجرایی نیست و برای کاربر نهایی تردید ایجاد نمی‌کند، زیرا HTML بیشتر در آموزش‌های آگاهی از فیشینگ و شبیه‌سازی نادیده گرفته می‌شود.

takian.ir muddywater campaign legit remote admin 5

لینک داخل فایل HTML کاربران را به OneDrive و جایی که بایگانی حاوی نصب کننده Syncro MSI میزبانی می‌شود، هدایت می‌کند.

کلام پایانی
به گفته Deep Instinct، «همه این ویژگی‌ها همراه با یک نصب‌کننده ساین‌شده MSI، سلاحی عالی برای یک عامل تهدید ایجاد می‌کند تا بتواند دسترسی اولیه را به‌دست آورد و شروع به انجام بازبینی و اقدامات مخرب سایبری روی هدف کند».

در ادامه توصیه شده است که کاربران مراقب راه‌حل‌های ریموت دسکتاپ که در شرکت‌ها غیرمعمول هستند، باشند، زیرا احتمال سواستفاده از آنها بیشتر است.

برچسب ها: Hosting, Syncro MSI, Managed Service Provider, Syncro, ScreenConnect, RemoteUtilities, مادی وا‌تر, مدیریت از راه دور, Atera Agent, Remote Monitoring and Management, spearphishing, MOIS, MERCURY, Static Kitten, MuddyWater, Dropbox, MSI, کمپین, MSP, Iran, HTML, APT, Remote Desktop, ایران, هاستینگ, phishing, malware, گروه‌های APT ایرانی, دفاع سایبری, Cyber Security, فیشینگ, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ