MuddyWater: il gruppo affiliato al ministero dell’intelligence e della sicurezza iraniano inizia a colpire

La società di sicurezza Deep Instinct ha affermato che il gruppo iraniano MuddyWater sta conducendo una campagna di phishing per installare lo strumento di amministrazione remota Syncro.

Secondo il rapporto dei ricercatori, gli aggressori hanno inviato e-mail di phishing da un’e-mail aziendale compromessa. Le email non avevano la firma ufficiale dell’azienda, ma le vittime si fidavano comunque delle email poiché erano state inviate da un indirizzo di un’azienda a loro nota.

Tra gli obiettivi dell’attacco ci sono due hosting provider egiziani. Uno è stato compromesso per inviare e-mail di phishing e l’altro era il destinatario di queste e-mail.

Per ridurre la possibilità di essere rilevato dagli strumenti di sicurezza della posta elettronica, l’attaccante ha allegato un file HTML all’e-mail contenente un collegamento per scaricare il programma di installazione Syncro MSI da Microsoft OneDrive o Dropbox. 

Secondo gli esperti, un file HTML, a differenza di un archivio o di un file eseguibile non desta grandi sospetti da parte dell’utente.

Syncro Remote Administration Tool ha una prova di 21 giorni e ti dà il pieno controllo sul computer di destinazione. Una volta nel sistema, i criminali informatici possono utilizzarlo per implementare backdoor per stabilire la persistenza e rubare dati.

Questa campagna ha colpito anche diverse compagnie di assicurazione in Israele. 

MuddyWater ha utilizzato la stessa tattica e ha inviato e-mail da un account e-mail di una compagnia alberghiera israeliana violata. Gli hacker hanno allegato un allegato HTML all’e-mail con un collegamento al programma di installazione di Syncro ospitato su OneDrive.

L’e-mail è stata scritta in ebraico, ma la scarsa scelta delle parole la fa sembrare sospetta a una persona madrelingua.

In genere, MuddyWater è coinvolta in operazioni di spionaggio rivolte a entità pubbliche e private (compagnie di telecomunicazioni, governi locali, organizzazioni di difesa, petrolio e gas) in Medio Oriente, Asia, Europa, Nord America e Africa.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.