El género de Estado-nación iraní conocido como FangosoAgua se ha atribuido a una nueva campaña que aprovechó una cuenta de correo electrónico comprometida para distribuir una puerta trasera señal Phoenix a varias organizaciones en la región de Medio Oriente y África del Finalidad (MENA), incluidas más de 100 entidades gubernamentales.
El objetivo final de la campaña es infiltrarse en objetivos de stop valía y solucionar la sumario de inteligencia, afirmó la empresa de ciberseguridad de Singapur Group-IB en un referencia técnico publicado hoy.
Más de las tres cuartas partes de los objetivos de la campaña incluyen embajadas, misiones diplomáticas, ministerios de relaciones exteriores y consulados, seguidos de organizaciones internacionales y empresas de telecomunicaciones.
“MuddyWater accedió al abertura comprometido a través de NordVPN (un servicio probado del que abusó el actor de la amenaza) y lo utilizó para expedir correos electrónicos de phishing que parecían ser correspondencia auténtica”, dijeron los investigadores de seguridad Mahmoud Zohdy y Mansour Alhmoud.
“Al explotar la confianza y la autoridad asociadas con dichas comunicaciones, la campaña aumentó significativamente sus posibilidades de engañar a los destinatarios para que abrieran archivos adjuntos maliciosos”.
La sujeción de ataque esencialmente implica que el actor de la amenaza distribuya documentos de Microsoft Word armados que, cuando se abren, solicitan a los destinatarios del correo electrónico que habiliten macros para poder ver el contenido. Una vez que el adjudicatario desprevenido habilita la función, el documento procede a ejecutar código astuto de Visual Basic para Aplicaciones (VBA), lo que resulta en la implementación de la lectura 4 de la puerta trasera Phoenix.
La puerta trasera se inicia mediante un cargador llamado FakeUpdate que el cuentagotas VBA decodifica y escribe en el disco. El cargador contiene la carga útil Phoenix cifrada con el Unificado de secreto reformista (AES).
Se considera que MuddyWater, asimismo señal Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm (anteriormente Mercury), Seedworm, Static Kitten, TA450, TEMP.Zagros y Yellow Nix, está afiliada al Servicio de Inteligencia y Seguridad de Irán (MOIS). Se sabe que está activo desde al menos 2017.
El uso de Phoenix por parte del actor de amenazas fue documentado por primera vez por Group-IB el mes pasado, describiéndolo como una lectura ligera de BugSleep, un implante basado en Python vinculado a MuddyWater. Se han detectado dos variantes diferentes de Phoenix (Interpretación 3 y Interpretación 4) en la naturaleza.
El proveedor de ciberseguridad dijo que asimismo se encontró que el servidor de comando y control (C2) del atacante (“159.198.36(.)115”) aloja utilidades de suministro y monitoreo remoto (RMM) y un bandido de credenciales de navegador web personalizado dirigido a Brave, Google Chrome, Microsoft Edge y Opera, lo que sugiere su probable uso en la operación. Vale la pena señalar que MuddyWater tiene un historial de distribución de software de paso remoto a través de campañas de phishing a lo dilatado de los abriles.
“Al implementar variantes de malware actualizadas, como la puerta trasera Phoenix v4, el inyector FakeUpdate y herramientas personalizadas de robo de credenciales conexo con utilidades RMM legítimas como PDQ y Action1, MuddyWater demostró una capacidad mejorada para integrar código personalizado con herramientas comerciales para mejorar el sigilo y la persistencia”, dijeron los investigadores.
