Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora

MuddyWater: il gruppo affiliato al ministero dell’intelligence e della sicurezza iraniano inizia a colpire

La società di sicurezza Deep Instinct ha affermato che il gruppo iraniano MuddyWater sta conducendo una campagna di phishing per installare lo strumento di amministrazione remota Syncro.

Secondo il rapporto dei ricercatori, gli aggressori hanno inviato e-mail di phishing da un’e-mail aziendale compromessa. Le email non avevano la firma ufficiale dell’azienda, ma le vittime si fidavano comunque delle email poiché erano state inviate da un indirizzo di un’azienda a loro nota.

Catena d’attacco MuddyWater

Tra gli obiettivi dell’attacco ci sono due hosting provider egiziani. Uno è stato compromesso per inviare e-mail di phishing e l’altro era il destinatario di queste e-mail.

Per ridurre la possibilità di essere rilevato dagli strumenti di sicurezza della posta elettronica, l’attaccante ha allegato un file HTML all’e-mail contenente un collegamento per scaricare il programma di installazione Syncro MSI da Microsoft OneDrive o Dropbox. 

Secondo gli esperti, un file HTML, a differenza di un archivio o di un file eseguibile non desta grandi sospetti da parte dell’utente.

Email dannosa con allegato HTML

Syncro Remote Administration Tool ha una prova di 21 giorni e ti dà il pieno controllo sul computer di destinazione. Una volta nel sistema, i criminali informatici possono utilizzarlo per implementare backdoor per stabilire la persistenza e rubare dati.

Questa campagna ha colpito anche diverse compagnie di assicurazione in Israele. 

MuddyWater ha utilizzato la stessa tattica e ha inviato e-mail da un account e-mail di una compagnia alberghiera israeliana violata. Gli hacker hanno allegato un allegato HTML all’e-mail con un collegamento al programma di installazione di Syncro ospitato su OneDrive.

E-mail di phishing inviata a compagnie assicurative in Israele

L’e-mail è stata scritta in ebraico, ma la scarsa scelta delle parole la fa sembrare sospetta a una persona madrelingua.

In genere, MuddyWater è coinvolta in operazioni di spionaggio rivolte a entità pubbliche e private (compagnie di telecomunicazioni, governi locali, organizzazioni di difesa, petrolio e gas) in Medio Oriente, Asia, Europa, Nord America e Africa.