E’ ricomparso nelle scene il gruppo MuddyWater, un attore di minacce sponsorizzato dallo stato iraniano, che è stato identificato responsabile di una nuova ondata di attacchi per distribuire trojan di accesso remoto (RAT) su computer compromessi in Turchia e nella penisola arabica.
Chi è e cosa fa MuddyWater
“Il supergruppo MuddyWater è altamente motivato e può utilizzare l’accesso non autorizzato per condurre spionaggio, furto di proprietà intellettuale e distribuire ransomware e malware distruttivo in un’impresa”, affermano i ricercatori di Cisco Talos Asheer Malhotra, Arnaud Zobec e Vitor Ventura in un rapporto pubblicato di recente.
La banda, che opera almeno dal 2017, è rinomata per gli attacchi a varie imprese corporate, a supporto degli obiettivi geopolitici e di sicurezza nazionale dell’Iran. Il Cyber Command degli Stati Uniti ha attribuito l’attore al Ministero dell’intelligence e della sicurezza (MOIS) del paese nel gennaio 2022. Si pensa anche che MuddyWater sia un “conglomerato di più team che operano in modo indipendente piuttosto che un singolo gruppo di attori malevoli”, ha affermato la società di sicurezza informatica, paragonandolo al famoso Winnti Umbrella, una minaccia persistente avanzata (APT) con sede in Cina.
Il gruppo MuddyWater nel presente
Le operazioni più recenti del gruppo, comportano l’utilizzo di documenti contenenti malware forniti tramite e-mail di phishing al fine di introdurre un trojan di accesso remoto noto come SloughRAT (oppure Canopy da nomenclatura CISA), che può eseguire codice arbitrario e ordini ricevuti dal suo server di comando e controllo (C2). Il documento malevolo attiva la catena di infezione, un file Excel contenente una macro dannosa, che causa il download di due file di script di Windows (.WSF) sull’endpoint, il primo dei quali funge da strumento per chiamare ed eseguire il payload della fase successiva.
Sono stati scoperti anche altri due attacchi basati su script, scritti in Visual Basic e JavaScript. Questi sono progettati per scaricare ed eseguire comandi dannosi sull’host infetto. Inoltre, le recenti incursioni sono la continuazione di una campagna del novembre 2021 che ha utilizzato backdoor basate su PowerShell per acquisire informazioni da aziende private ed enti governativi turchi, nonché sovrapposizioni con un’altra campagna avvenuta nel marzo 2021.
Intanto in Arabia Saudita il cyber diventa indiano
Di recente, l’esercito indiano e l’Arabia Saudita stanno esplorando nuove aree di assistenza che includono la condivisione di Intel e l’antiterrorismo. Il 16 febbraio 2022, il generale Fahd Bin Abdullah Mohammed Al-Mutair (comandante del tenente delle forze terrestri saudite reali) ha visitato l’India a testimonianza dei crescenti legami di difesa bilaterali tra Nuova Delhi e Riyadh. L’accordo bilaterale include Intelligence Sharing, Counter-Terrorism, Artificial Intelligence e Cyber Security.
Dato il fiorente ambiente geopolitico, vari nuovi giocatori Cyber stanno tentando la fortuna, specialmente nella volatile regione del Medio Oriente, offrendo capacità Cyber sia offensive che difensive.
Recentemente, tra gli attori difensivi della società indiana di sicurezza informatica , Instasafe sta anche cercando di espandere la sua presenza in Medio Oriente e in Europa. Secondo Sandip Kumar Panda (CEO di Instasafe Technology), stanno collaborando per ampliare le loro società tecnologiche al di fuori dei confini.
E sul lato offensivo, attori indiani come le tecnologie Secfence guidate da Atul Agarwal, le tecnologie Cleartrail guidate da Praveen Kankariya e le comunicazioni Shoghi guidate da Anant Bindal stanno lasciando il segno nei governi in carica in Medio Oriente.
La ricerca di Cisco Thalos
I ricercatori hanno ipotizzato che gli assalti siano “gruppi di attività distinti, ma correlati”, con le operazioni che utilizzano un “paradigma di condivisione del TTP più ampio, tipico dei team operativi coordinati”, basato sulla somiglianza di tattiche e metodi utilizzati dagli operatori. Si sfruttano attività pianificate per ottenere downloader dannosi basati su VBS, che consentono l’esecuzione di payload acquisiti da un server remoto, in una seconda sequenza di attacco parziale identificata da Cisco Talos tra dicembre 2021 e gennaio 2022. L’output del comando viene quindi inviato al server C2 (controllato dal gruppo) per ulteriori elaborazioni.