matrix-4980033_1280-1.jpg

Grupo espião do Irã MuddyWater intensifica ataques a Israel

Pastas falsas e ferramentas de acesso remoto fazem parte da mais recente campanha do grupo de espionagem contra alvos israelenses, de acordo com a empresa de segurança cibernética Deep Instinct
Da Redação
06/11/2023

O grupo de ameaça persistente avançada (APT) conhecido como MuddyWater, que se acredita ser operado pelo Ministério da Inteligência e Segurança iraniano para espionagem, lançou uma nova campanha contra alvos do governo israelense, de acordo com a empresa de segurança cibernética Deep Instinct.

Segundo relatório do Deep Instinct Threat Lab, laboratório de inteligência em ameaças da empresa de segurança cibernética, a campanha usa um serviço de compartilhamento de arquivos chamado Storyblok para hospedar um pacote de infecção em vários estágios para computadores alvo. O pacote de infecção assume a forma de um arquivo, que contém um atalho LNK na parte inferior de uma cadeia de pastas. Quando aberto, o atalho ativa um executável de uma pasta oculta contida no arquivo, instalando uma ferramenta de administração remota legítima no sistema alvo e permitindo que o grupo MuddyWater espione a máquina.

O novo ataque é particularmente inteligente, de acordo com a Deep Instinct, por causa de uma camada extra de disfarce — o executável malicioso é projetado para se parecer com uma pasta de arquivos, não um programa, e aparece uma pasta real do Windows Explorer contendo uma cópia de um memorando real do governo israelense sobre controle de informações de mídia social ao mesmo tempo em que instala o software de administração remota.

Postagem no blog da Deep Instinct sobre os ataques observa que o ataque Storyblok pode ter uma fase secundária após a infecção. “Depois que a vítima é infectada, o operador do MuddyWater se conectará ao host infectado usando a ferramenta de administração remota legítima e começará a fazer reconhecimento no alvo”, disse a empresa. “Após a fase de reconhecimento, o operador provavelmente executará o código do PowerShell, o que fará com que o host infectado faça o beacon para um servidor de comando e controle (C&C) personalizado.”

Veja isso
Grupo iraniano usa spray de senhas para espionagem
Hackers iranianos miram empresas no Brasil, Israel e UAE

A Deep Instinct relatou a mudança de táticas do grupo MuddyWater por anos, rastreando a atividade contra organizações de telecomunicações, governo, empreiteiras de defesa e energia em vários países, não apenas Israel.

Não está claro como o ataque atual do Storyblok está sendo espalhado, mas o grupo usou técnicas de spear phishing no passado, contendo documentos do Word com links para uma carga útil ou links diretos. O MuddyWater também usou anexos HTML, em vez de links diretos, para dissipar suspeitas, uma vez que arquivos e executáveis são riscos de segurança muito mais óbvios do que simples links da web. Acredita-se que o grupo esteja ativo desde 2020.

A postagem do blog do Deep Instinct fornece uma longa lista de indicadores de comprometimento na forma de valores MD5 e pode ser vista aqui.

Compartilhar:

Últimas Notícias