L’attore di minaccia affiliato all’Iran, noto come MuddyWater (aka Mango Sandstorm o TA450), è stato collegato a una nuova campagna di phishing nel marzo 2024, che mira a distribuire una legittima soluzione di Remote Monitoring and Management (RMM) chiamata Atera. Questa attività, svoltasi dal 7 al 11 marzo, ha preso di mira entità israeliane nei settori della manifattura globale, della tecnologia e della sicurezza delle informazioni, secondo quanto riportato da Proofpoint.
Tattiche e Tecniche di Phishing
MuddyWater ha inviato email con allegati PDF contenenti link dannosi. Questo metodo, sebbene non nuovo per TA450, segna una deviazione dalle tecniche precedenti, che vedevano l’inclusione di link dannosi direttamente nel corpo dell’email. Queste campagne di phishing sono una continuazione degli attacchi diretti contro organizzazioni israeliane iniziati a fine ottobre 2023, con l’uso di strumenti di amministrazione remota per raggiungere gli obiettivi strategici del gruppo.
Utilizzo di Software Legittimo
L’uso di software legittimo di desktop remoto, come ScreenConnect, RemoteUtilities, Syncro e SimpleHelp, è una tattica ricorrente per MuddyWater, che ora include l’Atera Agent. I link malevoli, ospitati su siti di condivisione file come Egnyte, Onehub, Sync e TeraBox, portano al download di un archivio ZIP contenente un file installer MSI che installa Atera Agent sul sistema compromesso. Questo approccio è stato osservato per la prima volta nel luglio 2022.
Implicazioni e Rischi
Oltre a MuddyWater, un gruppo di hacktivisti iraniano denominato Lord Nemesis ha preso di mira il settore accademico israeliano, compromettendo un fornitore di servizi software chiamato Rashim Software in un attacco alla catena di approvvigionamento. Utilizzando le credenziali ottenute dalla violazione di Rashim, Lord Nemesis ha presumibilmente infiltrato diversi clienti dell’azienda, tra cui numerosi istituti accademici, ottenendo informazioni sensibili che potrebbero essere utilizzate per ulteriori attacchi o per esercitare pressioni sulle organizzazioni colpite.
Questi incidenti sottolineano i rischi significativi posti dai fornitori e partner di terze parti e mettono in evidenza la crescente minaccia degli attori statali che prendono di mira aziende più piccole e con risorse limitate per promuovere le loro agende geopolitiche. La compromissione dell’account amministrativo di Rashim da parte del gruppo Lord Nemesis ha effettivamente eluso le misure di sicurezza messe in atto da numerose organizzazioni, garantendo privilegi elevati e accesso illimitato a sistemi e dati sensibili.
Cos’è Atera?
Atera è una piattaforma di gestione IT basata sul cloud che offre una soluzione completa per Managed Service Providers (MSP) e team di supporto IT. Combina le funzionalità di Remote Monitoring and Management (RMM), Professional Services Automation (PSA) e servizi di assistenza remota in un’unica interfaccia integrata, rendendo la gestione delle reti IT e il supporto agli utenti finali più efficienti e centralizzati.
La piattaforma Atera è progettata per essere intuitiva e facile da usare, consentendo un rapido onboarding e l’adozione da parte dei team IT. Offre una serie di strumenti per il monitoraggio in tempo reale dei sistemi, la gestione degli allarmi, l’automazione dei processi e l’assistenza remota, permettendo ai professionisti IT di anticipare e risolvere rapidamente i problemi prima che influenzino gli utenti finali.
Inoltre, Atera fornisce funzionalità di reportistica e fatturazione, facilitando la gestione degli aspetti amministrativi e commerciali per gli MSP. Questa soluzione tutto-in-uno mira a ottimizzare le operazioni IT, migliorare la qualità del servizio offerto ai clienti e supportare la crescita delle aziende nel settore IT.
