4 年第 2022 四半期からの ESET テレメトリにより、新しいキャンペーンが開始されました。 マディウォーターは、イランの情報安全保障省 (MOIS) に関連するサイバースパイ グループであり、少なくとも 2017 年から活動しています。 このグループは (主に) 中東、アジア、アフリカ、ヨーロッパ、北米の被害者を対象としており、通信会社、政府系の企業に焦点を当てています。組織、および石油とガス、エネルギー業界。

MSP に関心のある読者にとって、2022 年 XNUMX 月のキャンペーンで際立っているのは、エジプトで XNUMX 人、サウジアラビアで XNUMX 人の XNUMX 人の被害者が、 シンプルヘルプ、MSP が使用する正規のリモート アクセス ツール (RAT) およびリモート サポート ソフトウェアです。 この開発は、MSP の可視性の重要性を示しています。 数百または数千の種類のソフトウェアを展開する際に、自動化を採用し、SOC チーム、顧客対応のセキュリティ管理者、および検出と対応のプロセスが成熟し、常に改善されていることを確認する以外に選択肢はありません。

悪者のための良いツール？

ESETリサーチ 発見 SimpleHelp が被害者のディスクに存在していた場合、MuddyWater オペレーターが展開したこと リゴロ、リバース トンネル、被害者のシステムをコマンド アンド コントロール (C&C) サーバーに接続します。 MuddyWater がいつどのようにして MSP のツールを入手したか、または MSP の環境に侵入したかは不明です。 私たちは MSP に連絡しました。

このキャンペーンは継続していますが、MuddyWater による SimpleHelp の使用は、これまでのところ MuddyWater C&C サーバーの難読化に成功しています。SimpleHelp から Ligolo を起動するコマンドは取得されていません。 いずれにせよ、MuddyWater のオペレーターも推進していることはすでに指摘できます。 ミニダンプ (lsass.exe ダンパー)、 クレド忍者、およびグループのパスワードダンパー MKL64 の新しいバージョン。

2022 年 XNUMX 月下旬、ESET は MuddyWater がカスタム リバース トンネリング ツールをサウジアラビアの同じ被害者に展開していることを発見しました。 その目的はすぐには明らかになりませんでしたが、分析は継続されており、進捗状況は 我々 で追跡できます。 プライベート APT レポート.

MiniDump を使用して Local Security Authority Subsystem Service (LSASS) ダンプから資格情報を取得し、CredNinja 侵入テスト ツールを活用することに加えて、MuddyWater は他の戦術やテクニックを駆使しています。 MSPツール から ConnectWise 被害者のシステムにアクセスするため。

ESET は、画像、オーディオ トラック、ビデオ クリップ、またはテキスト ファイルなどのデジタル メディア内のデータを難読化するステガノグラフィーなど、このグループに関連する他の技術も追跡しています。 ClearSky Cyber​​ Security による 2018 年のレポート、 レバノンとオマーンでのマディウォーター事業、この使用法も文書化しており、いくつかの偽の履歴書に隠されたマルウェアのハッシュを共有しています – MyCV.doc. ESET は、難読化されたマルウェアを次のように検出します。 VBA/TrojanDownloader.Agent.

ClearSky レポートの発行から 3.4 年が経過しましたが、ESET の検出量は XNUMX 位 (XNUMX%) から減少しました。 T3脅威レポート VBA/TrojanDownloader.Agent は、T1.8 3 脅威レポートの「最後の」位置 (2022%) での最新のランキングに続き、トップ 10 のマルウェア検出チャートに残りました。

での VBA/TrojanDownloader.Agent の検出 ESET T3 2022 脅威レポート. (注: これらの検出は、さまざまなマルウェア ファミリ/スクリプトを再グループ化します。そのため、上記の VBA/TrojanDownloader.Agent トロイの木馬の割合は、MuddyWater によるこのマルウェア タイプの使用を排他的に検出したものではありません。)

VBA マクロ攻撃 悪意を持って作成された Microsoft Office ファイルを利用し、ユーザー (MSP の従業員やクライアントを含む) を操作してマクロの実行を可能にしようとします。 有効にすると、同封の悪意のあるマクロは通常、追加のマルウェアをダウンロードして実行します。 これらの悪意のあるドキュメントは通常、受信者に関連する重要な情報を装った電子メールの添付ファイルとして送信されます。

MSP と企業の行動を促すフレーズ

Microsoft Word/Office 365/Outlook などの主要な生産性向上ツールを構成する MSP 管理者は、管理しているネットワークに脅威をもたらす脅威ベクトルそのものに手を出しています。 同時に、SOC チームのメンバーは、MuddyWater のような APT や犯罪組織が、ステガノグラフィーなどの技術を利用して自分のシステムやクライアントのシステムにアクセスしようとしているかどうかを特定できるように適切に構成された独自の EDR/XDR ツールを持っている場合もあれば、持っていない場合もあります。

MSP には両方が必要です 信頼できるネットワーク接続と特権アクセス サービスを提供するためのお客様のシステムへ。 これは、多数のクライアントに対するリスクと責任を蓄積していることを意味します。 重要なことに、クライアントは、選択した MSP のアクティビティと環境からリスクを継承することもできます。 これは、XDR が自社の環境と顧客のエンドポイント、デバイス、およびネットワークの両方に可視性を提供し、新たな脅威、危険な従業員の行動、および不要なアプリケーションが利益や評判を危険にさらさないようにするための重要なツールであることを示しています。 MSP による XDR ツールの成熟した操作は、クライアントから付与された特権アクセスに特定のセキュリティ層を提供するという積極的な役割も伝えています。

成熟した MSP が XDR を管理すると、物理的サプライ チェーンとデジタル サプライ チェーンの両方でクライアントの立場を利用しようとする可能性のある APT グループを含む、さまざまな脅威に対抗するためのはるかに優れた立場になります。 防御側として、SOC チームと MSP 管理者は二重の負担を負い、内部の可視性とクライアントのネットワークへの可視性を維持します。 クライアントは、プロバイダーの侵害が自分自身の侵害につながらないように、MSP のセキュリティ スタンスを懸念し、直面する脅威を理解する必要があります。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
• 情報源： https://www.welivesecurity.com/2023/05/02/apt-groups-muddying-waters-msps/