Hackers use corporate emails to send MSP remote access tool in phishing operation

イランの情報安全保障省 (MOIS) に関連するグループである MuddyWater ハッカーは、侵害された企業の電子メール アカウントを使用して、標的にフィッシング メッセージを配信しました。

このグループは、9 月に開始された可能性があるキャンペーンで新しい戦術を採用しましたが、10 月まで観察されず、正規のリモート管理ツールの使用を組み合わせました。

ある MSP ツールから別の MSP ツールへ

MuddyWater は、過去のハッキング活動に正規のリモート管理ツールを使用していました。研究者は、2020 年と 2021 年にこのグループから、RemoteUtilities と ScreenConnect に依存したキャンペーンを発見しました。

7 月の別のキャンペーンでは、ハッカーはこの戦術を続けましたが、Deep Instinct のセキュリティ研究者であるSimon Kenin が強調したように、Atera に切り替えました。

Deep Instinct の研究者は、マネージド サービス プロバイダー (MSP) 向けに設計されたリモート管理ツールであるSyncroを使用した新しい MuddyWater キャンペーンを 10 月に発見しました。

ケニン氏は本日のレポートで、最初の感染経路は、ハッカーが侵害した正当な企業の電子メール アカウントから送信されたフィッシングであると指摘しています。

MuddyWater キャンペーンの概要
MuddyWater キャンペーンの概要
ソース: 深い本能

研究者は、会社の正式な署名がフィッシング メッセージから欠落しているものの、被害者は知っている会社に属する正当なアドレスから送信されたものであるため、依然として電子メールを信頼していると語っています。

このキャンペーンの標的には、エジプトのホスティング会社 2 社があり、そのうちの 1 社は侵害されてフィッシング メールを送信していました。もう 1 人は、悪意のあるメッセージの受信者でした。

「これは、信頼を築くための既知の手法です。受信側は、メールを送信した会社を知っています」とKenin は今日のレポートで説明しています。

電子メール セキュリティ ソリューションによって検出される可能性を下げるために、攻撃者は、Syncro MSI インストーラーをダウンロードするためのリンクを含む HTML ファイルを添付しました。

「添付ファイルは、エンドユーザーに疑念を起こさせないアーカイブや実行可能ファイルではありません。なぜなら、HTML はフィッシング認識トレーニングやシミュレーションでほとんど見過ごされているからです」 – Deep Instinct

このツールは、Microsoft の OneDrive ファイル ストレージでホストされていました。侵害されたエジプトのホスティング会社のメール アカウントから送信された以前のメッセージでは、Syncro インストーラーが Dropbox に保存されていました。

ただし、MuddyWater が使用する Syncro インストーラーのほとんどは、攻撃者が過去にハッキング キャンペーンに使用したサービスである OneHub のクラウド ストレージでホストされていると研究者は述べています。

Syncro は、 BatLoaderLunaMothなどの他の攻撃者によって使用されています。このツールには 21 日間有効な試用版があり、完全な Web インターフェイスが付属しており、Syncro エージェントがインストールされたコンピューターを完全に制御できます。

標的のシステムに到達すると、攻撃者はそれを使用してバックドアを展開し、持続性を確立してデータを盗むことができます。

この MuddyWater キャンペーンのその他の標的には、イスラエルの複数の保険会社が含まれます。攻撃者は同じ戦術を使用し、イスラエルのホスピタリティ業界のエンティティに属するハッキングされた電子メール アカウントから電子メールを配信しました。

ハッカーは、保険を探すふりをして、OneDrive でホストされている Syncro インストーラーへのリンクを含む HTML 添付ファイルを追加しました。

保険会社に送信される MuddyWater フィッシング メール
イスラエルの保険会社を狙った MuddyWater フィッシング メール
ソース: 深い本能

ケニン氏は、電子メールはヘブライ語で書かれていましたが、言葉の選択が不十分なため、ネイティブ スピーカーは危険信号を見つけることができたと述べています。

MuddyWater の戦術は特に洗練されたものではありませんが、無料で入手できるツールがハッキング操作に有効であることを示しています。

アクターはさまざまな名前 (Static Kitten、Cobalt Ulster、Mercury) で追跡されており、少なくとも 2017 年から活動しています。

通常、中東、アジア、ヨーロッパ、北アメリカ、アフリカの官民両方の組織 (通信会社、地方自治体、防衛、石油およびガス会社) を標的とするスパイ活動に従事しています。