La telemetría de ESET del cuarto trimestre de 4 vio el comienzo de una nueva campaña de Agua Fangosa, un grupo de ciberespionaje vinculado al Ministerio de Inteligencia y Seguridad de Irán (MOIS) y activo desde al menos 2017. El grupo se dirige (principalmente) a víctimas en Oriente Medio, Asia, África, Europa y América del Norte, centrándose en empresas de telecomunicaciones, agencias gubernamentales y las verticales de petróleo y gas y energía.

Para el lector interesado en el MSP, lo que se destaca en su campaña de octubre de 2022 es que cuatro víctimas, tres en Egipto y una en Arabia Saudita, fueron comprometidas a través del abuso de Ayuda simple, una herramienta legítima de acceso remoto (RAT) y un software de soporte remoto utilizado por los MSP. Este desarrollo señala la importancia de la visibilidad para los MSP. Al implementar cientos o incluso miles de tipos de software, no tiene más remedio que emplear la automatización y garantizar que los equipos SOC, los administradores de seguridad orientados al cliente y los procesos de detección y respuesta sean maduros y mejoren constantemente.

¿Buenas herramientas para los malos?

Investigación de ESET descubierto CRISPR que cuando SimpleHelp estaba presente en el disco de una víctima, los operadores de MuddyWater implementaron lígolo, un túnel inverso, para conectar el sistema de la víctima a sus servidores de Comando y Control (C&C). Se desconoce cómo y cuándo MuddyWater tomó posesión de las herramientas del MSP o ingresó al entorno del MSP. Nos hemos puesto en contacto con el MSP.

Mientras continúa esta campaña, el uso de SimpleHelp por parte de MuddyWater, hasta el momento, ha ofuscado con éxito los servidores C&C de MuddyWater: los comandos para iniciar Ligolo desde SimpleHelp no se han capturado. De todos modos, ya podemos notar que los operadores de MuddyWater también están presionando Minivolcado (un volcado lsass.exe), CredNinja, y una nueva versión del volcador de contraseñas del grupo MKL64.

A fines de octubre de 2022, ESET detectó que MuddyWater estaba implementando una herramienta de tunelización inversa personalizada para la misma víctima en Arabia Saudita. Si bien su propósito no fue evidente de inmediato, el análisis continúa y el progreso se puede seguir en nuestro Informes APT privados.

Además de usar MiniDump para obtener credenciales de los volcados del Servicio de subsistema de la autoridad de seguridad local (LSASS) y aprovechar la herramienta de prueba de penetración CredNinja, MuddyWater usa otras tácticas y técnicas, por ejemplo, usando popular Herramientas MSP Desde Conectar Sabio para acceder a los sistemas de las víctimas.

ESET también ha rastreado otras técnicas relacionadas con el grupo, como la esteganografía, que ofusca datos en medios digitales como imágenes, pistas de audio, videoclips o archivos de texto. Un informe de 2018 de ClearSky Cyber ​​Security, Operaciones MuddyWater en Líbano y Omán, también documenta este uso, compartiendo hashes para malware oculto en varios currículums falsos: MiCV.doc. ESET detecta el malware ofuscado como VBA/TrojanDownloader.Agente.

Si bien han pasado cuatro años desde la publicación del informe ClearSky, y el volumen de detecciones de ESET cayó desde la séptima posición (con un 3.4%) en Informe de amenazas T3 2021 a su clasificación más reciente en la "última" posición (con 1.8 %) en el Informe de amenazas T3 2022, VBA/TrojanDownloader.Agent se mantuvo en nuestra tabla de las 10 principales detecciones de malware.

Detecciones de VBA/TrojanDownloader.Agent en el Informe de amenazas de ESET T3 2022. (Nota: estas detecciones reagrupan varias familias/scripts de malware. Como tal, el porcentaje de troyanos VBA/TrojanDownloader.Agent anterior no es una detección exclusiva del uso de este tipo de malware por parte de MuddyWater).

Ataques de macros VBA aproveche los archivos de Microsoft Office creados con fines malintencionados e intente manipular a los usuarios (incluidos los empleados y clientes de MSP) para permitir la ejecución de macros. Si está habilitada, la macro maliciosa adjunta generalmente descarga y ejecuta malware adicional. Estos documentos maliciosos generalmente se envían como archivos adjuntos de correo electrónico disfrazados de información importante relevante para el destinatario.

Un llamado a la acción para los MSP y las empresas

Los administradores de MSP, que configuran herramientas de productividad líderes como Microsoft Word/Office 365/Outlook, analizan los mismos vectores de amenazas que transmiten amenazas a las redes que administran. Simultáneamente, los miembros del equipo SOC pueden o no tener sus propias herramientas EDR/XDR bien configuradas para identificar si APT como MuddyWater o entidades criminales están intentando aprovechar técnicas, incluida la esteganografía, para acceder a sus propios sistemas o los de sus clientes.

Los MSP requieren ambos conectividad de red confiable y acceso privilegiado a los sistemas del cliente para proporcionar servicios; esto significa que acumulan riesgo y responsabilidad para un gran número de clientes. Es importante destacar que los clientes también pueden heredar los riesgos de la actividad y el entorno de su MSP elegido. Esto ha demostrado que XDR es una herramienta fundamental para brindar visibilidad tanto en sus propios entornos como en los terminales, dispositivos y redes de los clientes para garantizar que las amenazas emergentes, el comportamiento riesgoso de los empleados y las aplicaciones no deseadas no pongan en riesgo sus ganancias o su reputación. La operación madura de las herramientas XDR por parte de los MSP también comunica su papel activo en proporcionar una capa específica de seguridad para el acceso privilegiado que les otorgan los clientes.

Cuando los MSP maduros administran XDR, están en una posición mucho mejor para contrarrestar una diversidad de amenazas, incluidos los grupos APT que podrían buscar aprovechar la posición de sus clientes en las cadenas de suministro tanto físicas como digitales. Como defensores, los equipos de SOC y los administradores de MSP tienen una doble carga: mantener la visibilidad interna y la visibilidad de las redes de los clientes. Los clientes deben preocuparse por la postura de seguridad de sus MSP y comprender las amenazas a las que se enfrentan, no sea que un compromiso de su proveedor lleve a un compromiso de ellos mismos.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
• Acuñando el futuro con Adryenn Ashley. Accede Aquí.
• Fuente: https://www.welivesecurity.com/2023/05/02/apt-groups-muddying-waters-msps/