MuddyWater: il gruppo affiliato al ministero dell’intelligence e della sicurezza iraniano inizia a colpire

Redazione RHC : 20 Dicembre 2022 07:17

La società di sicurezza Deep Instinct ha affermato che il gruppo iraniano MuddyWater sta conducendo una campagna di phishing per installare lo strumento di amministrazione remota Syncro.

Secondo il rapporto dei ricercatori, gli aggressori hanno inviato e-mail di phishing da un’e-mail aziendale compromessa. Le email non avevano la firma ufficiale dell’azienda, ma le vittime si fidavano comunque delle email poiché erano state inviate da un indirizzo di un’azienda a loro nota.

Tra gli obiettivi dell’attacco ci sono due hosting provider egiziani. Uno è stato compromesso per inviare e-mail di phishing e l’altro era il destinatario di queste e-mail.

Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765 

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Per ridurre la possibilità di essere rilevato dagli strumenti di sicurezza della posta elettronica, l’attaccante ha allegato un file HTML all’e-mail contenente un collegamento per scaricare il programma di installazione Syncro MSI da Microsoft OneDrive o Dropbox. 

Secondo gli esperti, un file HTML, a differenza di un archivio o di un file eseguibile non desta grandi sospetti da parte dell’utente.

Syncro Remote Administration Tool ha una prova di 21 giorni e ti dà il pieno controllo sul computer di destinazione. Una volta nel sistema, i criminali informatici possono utilizzarlo per implementare backdoor per stabilire la persistenza e rubare dati.

Questa campagna ha colpito anche diverse compagnie di assicurazione in Israele. 

MuddyWater ha utilizzato la stessa tattica e ha inviato e-mail da un account e-mail di una compagnia alberghiera israeliana violata. Gli hacker hanno allegato un allegato HTML all’e-mail con un collegamento al programma di installazione di Syncro ospitato su OneDrive.

L’e-mail è stata scritta in ebraico, ma la scarsa scelta delle parole la fa sembrare sospetta a una persona madrelingua.

In genere, MuddyWater è coinvolta in operazioni di spionaggio rivolte a entità pubbliche e private (compagnie di telecomunicazioni, governi locali, organizzazioni di difesa, petrolio e gas) in Medio Oriente, Asia, Europa, Nord America e Africa.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.