L’analisi della telemetria ESET del quarto trimestre 2022 ha rilevato l’inizio di una nuova campagna da parte di MuddyWater, un gruppo di cyber spionaggio legato al Ministero dell’Intelligence e della Sicurezza dell’Iran (MOIS) e attivo dal 2017. Il gruppo colpisce principalmente vittime in Medio Oriente, Asia, Africa, Europa e Nord America, concentrandosi su aziende di telecomunicazioni, organizzazioni governative e settori verticali come petrolio, gas ed energia.
L’abuso di SimpleHelp e l’importanza della visibilità per gli MSP
Ciò che colpisce nella campagna di ottobre 2022 è che quattro vittime, tre in Egitto e una in Arabia Saudita, sono state compromesse attraverso l’abuso di SimpleHelp, uno strumento legittimo di accesso remoto e software di supporto remoto utilizzato dagli MSP. Questo sviluppo sottolinea l’importanza della visibilità per gli MSP, che nell’implementazione di centinaia o migliaia di tipi di software devono fare affidamento sull’automazione e garantire che i team del SOC, gli amministratori della sicurezza rivolti ai clienti e i processi di rilevamento e risposta siano maturi e in costante miglioramento.
Tecniche avanzate e l’uso di strumenti legittimi
ESET Research ha scoperto che, quando SimpleHelp era presente sul disco di una vittima, gli operatori di MuddyWater utilizzavano Ligolo, un tunnel inverso, per collegare il sistema della vittima ai loro server di comando e controllo (C&C). Non si sa come e quando MuddyWater abbia preso possesso degli strumenti dell’MSP o sia entrato nell’ambiente dell’MSP. Inoltre, il gruppo MuddyWater utilizza altri strumenti e tecniche, ad esempio, ricorrendo a strumenti MSP popolari come ConnectWise per accedere ai sistemi delle vittime.
L’importanza degli strumenti XDR per gli MSP e i loro clienti
Gli MSP necessitano di una connettività di rete affidabile e di un accesso privilegiato ai sistemi dei clienti per fornire i loro servizi, il che significa che accumulano rischi e responsabilità per un gran numero di clienti. Di conseguenza, gli strumenti XDR si rivelano fondamentali per fornire visibilità sia nei propri ambienti che nei dispositivi e nelle reti dei clienti, garantendo che minacce emergenti, comportamenti rischiosi dei dipendenti e applicazioni indesiderate non mettano a repentaglio i loro profitti o la loro reputazione.