MuddyWater, un grupo de amenazas iraní, ha comenzado recientemente a utilizar una nueva puerta trasera hecha a medida para atacar sistemas de TI en Oriente Medio, según las empresas de inteligencia de amenazas Check Point y Sekoia. En el pasado, MuddyWater comprometió principalmente sistemas utilizando herramientas legítimas de gestión remota como Atera Agent, Screen Connect, Tactical RMM o SimpleHelp. La cadena de ataque típica del grupo de amenazas persistentes avanzadas (APT) comenzó con una campaña de phishing propagada desde cuentas de correo electrónico de organizaciones comprometidas, lo que llevó a la implementación no autorizada de estas herramientas legítimas para controlar los dispositivos de la víctima. Recientemente, MuddyWater se alejó de este enfoque y comenzó a implementar una puerta trasera personalizada, según revelaron Check Point y Sekoia el 15 de julio de 2024. Cambio en el enfoque de MuddyWater MuddyWater es un grupo APT afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOIS), que ha estado activo desde al menos 2017. Ha participado en campañas de phishing generalizadas dirigidas a Oriente Medio, con un enfoque particular en Israel. Desde el ataque de Hamás a Israel en octubre de 2023 y el comienzo de la guerra entre Hamás e Israel, el grupo ha aumentado significativamente su actividad. El 9 de junio de 2024, un informe de la empresa de ciberseguridad ClearSky sobre una nueva campaña de MuddyWater llevó a Sekoia a darse cuenta de que el actor de la amenaza estaba utilizando una herramienta nueva e indocumentada. Sekoia denominó a esta herramienta MuddyRot. Check Point Research identificó el mismo cambio y denominó a la nueva herramienta BugSleep. Descifrando el funcionamiento de MuddyRot/BugSleep MuddyRot/BugSleep es un implante x64 desarrollado en C que ejecuta los comandos de los actores de la amenaza y transfiere archivos entre la máquina comprometida y el servidor de comando y control (C2). Incluye varias capacidades como shell inverso, persistencia y la posibilidad de que los operadores descarguen y carguen archivos desde/hacia la estación de trabajo comprometida. La cadena de infección típica implica un abuso de Egnyte. Egnyte es una plataforma segura de intercambio de archivos que permite a los empleados y las empresas compartir archivos a través de un navegador web. Tras la ejecución, el malware realiza tareas estándar, como desofuscar cadenas, cargar las funciones necesarias desde una interfaz programable de aplicación (API) dinámica y crear un mutex. Todas las cadenas relevantes, como la configuración del malware, las rutas de los archivos y los métodos importados, se ofuscan mediante varias técnicas de ofuscación estándar, como la carga de importación dinámica. Mayor escrutinio sobre las herramientas de monitoreo remoto La puerta trasera se ha utilizado principalmente para infectar los sistemas de TI de organizaciones israelíes, aunque algunas campañas se dirigieron a entidades en Turquía, Arabia Saudita, India y Portugal. Actualmente se encuentra en desarrollo, y los actores de amenazas mejoran continuamente su funcionalidad y solucionan errores. Los investigadores de amenazas de Sekoia dijeron que esta no es la primera vez que se observa a MuddyWater usando su propio implante. El grupo de amenazas creó puertas traseras de primera etapa codificadas en Powershell antes de usar herramientas de monitoreo remoto legítimas. Sekoia señaló que el mayor escrutinio de las herramientas de monitoreo y administración remotas por parte de los proveedores de seguridad luego de que actores maliciosos las usaran cada vez más ha influido en este cambio. “Tal vez uno de sus objetivos impidió la ejecución de Atera en su propia red, por lo que los operadores de MuddyWater tuvieron que cambiar a algo más personalizado”, agregaron.