De Iraanse natiestaatacteur, bekend als Modderig water is gekoppeld aan een nieuwe spear-phishing-campagne gericht op twee Israëlische entiteiten om uiteindelijk een legitieme tool voor extern beheer van N-able in te zetten, genaamd Advanced Monitoring Agent.
Cyberbeveiligingsbedrijf Deep Instinct, dat details van de aanvallen openbaar maakte, zei dat de campagne “geüpdatete TTP’s vertoont van eerder gerapporteerde MuddyWater-activiteit”, die in het verleden soortgelijke aanvalsketens heeft gebruikt om andere tools voor externe toegang te verspreiden, zoals ScreenConnect, RemoteUtilities, Syncro, en SimpelHelp.
Hoewel de nieuwste ontwikkeling de eerste keer is dat MuddyWater is waargenomen met behulp van de software voor monitoring op afstand van N-able, onderstreept het ook het feit dat de grotendeels onveranderde modus operandi de dreigingsactor een zekere mate van succes blijft opleveren.
De bevindingen zijn ook afzonderlijk bevestigd door cybersecuritybedrijf Group-IB in een na gedeeld op X (voorheen Twitter).
De door de staat gesponsorde groep is een cyberspionageploeg die naar verluidt een ondergeschikt element is binnen het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS) en zich aansluit bij andere aan MOIS gelieerde clusters zoals OilRig, Lyceum, Agrius en Scarred Manticore. Het is actief sinds minstens 2017.
Eerdere aanvalsreeksen omvatten het verzenden van spearphishing-e-mails met directe links, evenals HTML-, PDF- en RTF-bijlagen met links naar archieven die op verschillende platforms voor het delen van bestanden worden gehost, waardoor uiteindelijk een van de bovengenoemde tools voor extern beheer verdwijnt.
De nieuwste tactieken en hulpmiddelen vertegenwoordigen in sommige opzichten een voortzetting, en in andere opzichten een evolutie, voor de groep die ook wel bekend staat als Mango Sandstorm en Static Kitten.
Wat deze keer anders is, is het gebruik van een nieuwe dienst voor het delen van bestanden, Storyblok genaamd, om een meerfasige infectievector te initiëren.
“Het bevat verborgen bestanden, een LNK-bestand dat de infectie initieert, en een uitvoerbaar bestand dat is ontworpen om een lokdocument zichtbaar te maken tijdens het uitvoeren van Advanced Monitoring Agent, een tool voor extern beheer”, zei beveiligingsonderzoeker Simon Kenin in een analyse van woensdag.
“Nadat het slachtoffer is geïnfecteerd, zal de MuddyWater-operator verbinding maken met de geïnfecteerde host met behulp van de legitieme tool voor extern beheer en beginnen met het verkennen van het doelwit.”
Het lokdocument dat aan het slachtoffer wordt getoond, is een officieel memo van de Israëlische Ambtenarencommissie, dat publiekelijk kan worden gedownload van de officiële website.
Als verder teken van de snel verbeterende kwaadaardige cybercapaciteiten van Iran zei Deep Instinct dat het ook de MuddyWater-actoren zag die gebruik maakten van een nieuw command-and-control (C2) raamwerk genaamd MuddyC2Go, een opvolger van MuddyC3 en PhonyC2.
