Il gruppo di hacker iraniani noto come MuddyWater continua a sfruttare strumenti legittimi di amministrazione remota per prendere il controllo dei sistemi presi di mira. L’analisi di Group-IB rivela l’uso del software di supporto remoto SimpleHelp da parte dell’attore minaccioso.
MuddyWater e l’uso di SimpleHelp
Attivo dal 2017, MuddyWater è considerato un elemento subordinato del Ministero dell’Intelligence e della Sicurezza (MOIS) dell’Iran. Tra i principali obiettivi figurano Turchia, Pakistan, Emirati Arabi Uniti, Iraq, Israele, Arabia Saudita, Giordania, Stati Uniti, Azerbaigian e Afghanistan. Nikita Rostovtsev, analista senior delle minacce presso Group-IB, afferma che MuddyWater utilizza SimpleHelp, uno strumento legittimo per il controllo e la gestione dei dispositivi remoti, per garantire la persistenza sui dispositivi delle vittime. SimpleHelp non è compromesso e viene utilizzato come previsto, ma gli attori minacciosi hanno trovato un modo per scaricare lo strumento dal sito ufficiale e usarlo nei loro attacchi.
Il metodo di distribuzione e gli attacchi di MuddyWater
Il metodo di distribuzione esatto utilizzato per diffondere i campioni di SimpleHelp non è ancora chiaro, sebbene si sappia che il gruppo invia messaggi di spear-phishing contenenti link dannosi a partire da caselle di posta aziendale già compromesse. Le scoperte di Group-IB sono state confermate dall’azienda slovacca di cybersecurity ESET, che ha descritto gli attacchi di MuddyWater in Egitto e Arabia Saudita, che prevedevano l’uso di SimpleHelp per distribuire il suo strumento di tunneling inverso Ligolo e un raccoltitore di credenziali chiamato MKL64. La società con sede a Singapore ha inoltre rilevato infrastrutture precedentemente sconosciute gestite dal gruppo e uno script PowerShell in grado di ricevere comandi da un server remoto, i cui risultati vengono inviati al server stesso.
