Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

MuddyWater: il gruppo affiliato al ministero dell’intelligence e della sicurezza iraniano inizia a colpire

Redazione RHC : 20 Dicembre 2022 07:17

La società di sicurezza Deep Instinct ha affermato che il gruppo iraniano MuddyWater sta conducendo una campagna di phishing per installare lo strumento di amministrazione remota Syncro.

Secondo il rapporto dei ricercatori, gli aggressori hanno inviato e-mail di phishing da un’e-mail aziendale compromessa. Le email non avevano la firma ufficiale dell’azienda, ma le vittime si fidavano comunque delle email poiché erano state inviate da un indirizzo di un’azienda a loro nota.

Catena d’attacco MuddyWater

Tra gli obiettivi dell’attacco ci sono due hosting provider egiziani. Uno è stato compromesso per inviare e-mail di phishing e l’altro era il destinatario di queste e-mail.

Supporta Red Hot Cyber attraverso

Per ridurre la possibilità di essere rilevato dagli strumenti di sicurezza della posta elettronica, l’attaccante ha allegato un file HTML all’e-mail contenente un collegamento per scaricare il programma di installazione Syncro MSI da Microsoft OneDrive o Dropbox. 

Secondo gli esperti, un file HTML, a differenza di un archivio o di un file eseguibile non desta grandi sospetti da parte dell’utente.

Email dannosa con allegato HTML

Syncro Remote Administration Tool ha una prova di 21 giorni e ti dà il pieno controllo sul computer di destinazione. Una volta nel sistema, i criminali informatici possono utilizzarlo per implementare backdoor per stabilire la persistenza e rubare dati.

Questa campagna ha colpito anche diverse compagnie di assicurazione in Israele. 

MuddyWater ha utilizzato la stessa tattica e ha inviato e-mail da un account e-mail di una compagnia alberghiera israeliana violata. Gli hacker hanno allegato un allegato HTML all’e-mail con un collegamento al programma di installazione di Syncro ospitato su OneDrive.

E-mail di phishing inviata a compagnie assicurative in Israele

L’e-mail è stata scritta in ebraico, ma la scarsa scelta delle parole la fa sembrare sospetta a una persona madrelingua.

In genere, MuddyWater è coinvolta in operazioni di spionaggio rivolte a entità pubbliche e private (compagnie di telecomunicazioni, governi locali, organizzazioni di difesa, petrolio e gas) in Medio Oriente, Asia, Europa, Nord America e Africa.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009