De aan Iran gelieerde dreigingsacteur volgde als Modderig water (ook bekend als Mango Sandstorm of TA450) is in maart 2024 gekoppeld aan een nieuwe phishing-campagne die tot doel heeft een legitieme Remote Monitoring and Management (RMM)-oplossing te leveren, genaamd Atera.
De activiteit, die plaatsvond van 7 maart tot en met de week van 11 maart, was gericht tegen Israëlische entiteiten in de mondiale productie-, technologie- en informatiebeveiligingssectoren, aldus Proofpoint.
“TA450 stuurde e-mails met pdf-bijlagen die kwaadaardige links bevatten”, aldus het bedrijfsbeveiligingsbedrijf. “Hoewel deze methode niet vreemd is aan TA450, heeft de bedreigingsacteur er recentelijk op vertrouwd om kwaadaardige links rechtstreeks in de hoofdtekst van e-mailberichten op te nemen in plaats van deze extra stap toe te voegen.”
MuddyWater wordt sinds eind oktober 2023 toegeschreven aan aanvallen tegen Israëlische organisaties, waarbij eerdere bevindingen van Deep Instinct aan het licht brachten dat de bedreigingsacteur een ander hulpmiddel voor extern beheer van N-able gebruikte.
Dit is niet de eerste keer dat de tegenstander – die vermoedelijk banden heeft met het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS) – in de schijnwerpers komt te staan vanwege zijn afhankelijkheid van legitieme externe desktopsoftware om zijn strategische doelen te bereiken. Er is ook waargenomen dat ScreenConnect, RemoteUtilities, Syncro en SimpleHelp worden gebruikt.
De nieuwste aanvalsketens omvatten het insluiten van koppelingen door MuddyWater naar bestanden die worden gehost op sites voor het delen van bestanden zoals Egnyte, Onehub, Sync en TeraBox. Sommige van de phishing-berichten met een betalend thema zouden zijn verzonden vanaf een waarschijnlijk gecompromitteerd e-mailaccount dat is gekoppeld aan het domein “co.il” (Israël).
In de volgende fase leidt het klikken op de link in het PDF-lokmiddeldocument tot het ophalen van een ZIP-archief met daarin een MSI-installatiebestand dat uiteindelijk de Atera Agent op het aangetaste systeem installeert. MuddyWater's gebruik van Atera Agent dateert van juli 2022.
De verschuiving in de tactiek van MuddyWater komt op het moment dat een Iraanse hacktivistische groep genaamd Lord Nemesis zich heeft gericht op de Israëlische academische sector door inbreuk te maken op een softwareserviceprovider genaamd Rashim Software in het geval van een aanval op de softwareleveringsketen.
“Lord Nemesis zou de inloggegevens verkregen uit de Rashim-inbreuk hebben gebruikt om verschillende klanten van het bedrijf te infiltreren, waaronder talrijke academische instituten”, aldus Op Innovate. “De groep beweert tijdens de inbreuk gevoelige informatie te hebben verkregen, die zij kunnen gebruiken voor verdere aanvallen of om druk uit te oefenen op de getroffen organisaties.”
Er wordt aangenomen dat Lord Nemesis de ongeautoriseerde toegang tot de infrastructuur van Rashim heeft gebruikt door het beheerdersaccount te kapen en gebruik te maken van de ontoereikende multi-factor authenticatie (MFA) bescherming van het bedrijf om interessante persoonlijke gegevens te verzamelen.
Het stuurde op 4 maart 2024, vier maanden nadat de eerste inbreuk plaatsvond, ook e-mailberichten naar meer dan 200 van zijn klanten, waarin de omvang van het incident werd beschreven. De exacte methode waarmee de bedreigingsacteur toegang kreeg tot de systemen van Rashim werd niet bekendgemaakt.
“Het incident benadrukt de aanzienlijke risico's die externe leveranciers en partners met zich meebrengen (supply chain-aanval)”, aldus beveiligingsonderzoeker Roy Golombick. “Deze aanval benadrukt de groeiende dreiging van nationale actoren die zich richten op kleinere bedrijven met beperkte middelen als middel om hun geopolitieke agenda’s te bevorderen.”
“Door met succes het beheerdersaccount van Rashim te compromitteren, omzeilde de Lord Nemesis-groep effectief de veiligheidsmaatregelen die door talloze organisaties waren getroffen, waardoor ze zichzelf verhoogde rechten en onbeperkte toegang tot gevoelige systemen en gegevens verleenden.”
