Nota: O seguinte artigo irá ajudá-lo com: MuddyWater tem como alvo países do Oriente Médio e da Ásia em ataques de phishing
O Cisco Talos ilustrou as maneiras pelas quais o grupo de hackers apoiado pelo Irã tentou países para ataques cibernéticos.
O supergrupo iraniano APT MuddyWater foi identificado como os hackers ligados a tentativas de ataques de phishing contra a Turquia e outros países asiáticos, de acordo com as descobertas publicadas pela Cisco Talos. O conglomerado, que foi vinculado ao Ministério de Inteligência e Segurança do Irã pelo Comando Cibernético dos EUA, agora foi identificado como vários subgrupos diferentes agindo sob o nome de MuddyWater, em vez de um ator de ameaças unificado.
Como e quando os ataques cibernéticos aconteceram
O grupo de hackers supostamente tem como alvo esses países usando um trojan de o remoto (RAT) baseado em arquivo de script do Windows (WSF) considerado “SloughRAT” pela Cisco Talos. Usando essa forma de malware, o MuddyWater tentou realizar espionagem, roubar propriedade intelectual e cometer ataques de ransomware contra países da Península Arábica em que o grupo se concentrou. Os atores maliciosos tentaram duas campanhas contra a Turquia em novembro de 2021 e atacaram a Armênia em junho do mesmo ano usando os mesmos tipos de arquivos executáveis do Windows.
Em abril de 2021, a Cisco Talos observou que esse grupo também lançou um ataque contra o Paquistão por meio de dois sistemas de entrega diferentes – um empregando um er baseado em PowerShell para aceitar e executar comandos PS1 adicionais do servidor C2 e outro usando um ponto de infecção de documentos de malware que alegava fazer parte de um processo judicial no Paquistão.
O grupo, também conhecido como “MERCURY” ou “Static Kitten”, está ativo desde pelo menos 2017 e é conhecido por utilizar ransomware em suas tentativas de ataques anteriores. De acordo com a empresa de segurança cibernética, o grupo de ameaças é conhecido por usar ataques de sistema de nomes de domínio (DNS) em suas vítimas pretendidas usando “scripts PowerShell, Visual Basic e JavaScript juntamente com binários de vida fora da terra (LoLBins) e utilitários de conexão para auxiliar nos estágios iniciais da infecção.”
VEJO: Google Chrome: dicas de segurança e interface do usuário que você precisa saber (TechRepublic )
MuddyWater como uma coleção de grupos
De acordo com as descobertas da Cisco Talos, a “variedade de iscas e cargas úteis do grupo de hackers – juntamente com o direcionamento de várias regiões geográficas diferentes – fortalece nossa crescente hipótese de que MuddyWater é um conglomerado de subgrupos em vez de um único ator”.
A empresa de segurança cibernética acredita que o grupo de hackers é uma combinação de equipes menores, visando regiões específicas, como a Península Arábica e a Ásia, utilizando os diferentes tipos de técnicas de ataque acima. Enquanto a MuddyWater é incorporada por subgrupos menores, a Cisco Talos acredita que algumas dessas equipes são contratadas para ataques pelos líderes e organizadores da MuddyWater. Uma razão para essa crença é que houve strings e marcas d’água únicas identificadas como sendo compartilhadas entre os grupos MuddyWater e Phosphorus/Charming Kitten APT.
Essas técnicas compartilhadas entre essas equipes menores são aparentemente preferidas por agentes de ameaças em determinadas regiões, tornando-as identificáveis como não pertencentes às mesmas áreas que outros ataques do coletivo. Os dois métodos preferidos de ataques destacados pela empresa de segurança cibernética foram o arquivo executável SloughRAT do Windows e a ferramenta de encapsulamento reverso Ligolo, usada contra países do Oriente Médio em março de 2021.
VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)
Como proteger você e sua empresa
Embora esse grupo de hackers tenha direcionado especificamente regiões e países em todo o mundo, as ameaças cibernéticas continuam sendo uma coisa importante a ser lembrada tanto para indivíduos quanto para organizações. Com isso em mente, é importante estar preparado com software antivírus e treinamento extremamente completo para garantir que os sistemas não sejam comprometidos e que os funcionários estejam cientes dos riscos online para evitar serem vitimados.