MuddyWater yang Berhubungan dengan Iran Menyebarkan Atera untuk Pengawasan dalam Serangan Phishing
3 mins read

MuddyWater yang Berhubungan dengan Iran Menyebarkan Atera untuk Pengawasan dalam Serangan Phishing

Aktor ancaman yang berafiliasi dengan Iran yang dilacak sebagai MuddyWater (alias Mango Sandstorm atau TA450) telah dikaitkan dengan kampanye phishing baru pada Maret 2024 yang bertujuan untuk memberikan solusi Pemantauan dan Manajemen Jarak Jauh (RMM) sah yang disebut Atera.

Kegiatan tersebut, yang berlangsung dari 7 Maret hingga 11 Maret, menargetkan entitas Israel yang mencakup sektor manufaktur global, teknologi, dan keamanan informasi, kata Proofpoint.

“TA450 mengirim email dengan lampiran PDF yang berisi tautan berbahaya,” kata perusahaan keamanan perusahaan tersebut . “Meski metode ini tidak asing lagi bagi TA450, pelaku ancaman kini lebih mengandalkan penyertaan tautan berbahaya secara langsung di badan pesan email dibandingkan menambahkan langkah ekstra ini.”

MuddyWater telah dikaitkan dengan serangan yang ditujukan terhadap organisasi Israel sejak akhir Oktober 2023, dengan temuan sebelumnya dari Deep Instinct mengungkap penggunaan alat administrasi jarak jauh lainnya dari N-able oleh pelaku ancaman.

Ini bukan pertama kalinya musuh – yang dinilai berafiliasi dengan Kementerian Intelijen dan Keamanan Iran (MOIS) – menjadi sorotan karena ketergantungannya pada perangkat lunak desktop jarak jauh yang sah untuk mencapai tujuan strategisnya. Kampanye phishing serupa pernah menyebabkan penerapan ScreenConnect, RemoteUtilities, Syncro, dan SimpleHelp di masa lalu.

Rantai serangan terbaru melibatkan penyematan tautan MuddyWater ke file yang dihosting di situs berbagi file seperti Egnyte, Onehub, Sync, dan TeraBox. Beberapa pesan phishing bertema pembayaran dikatakan telah dikirim dari akun email yang kemungkinan telah disusupi dan terkait dengan domain “co.il” (Israel).

Pada tahap selanjutnya, mengklik tautan yang ada dalam dokumen umpan PDF mengarah ke pengambilan arsip ZIP yang berisi file penginstal MSI yang pada akhirnya menginstal Agen Atera pada sistem yang disusupi. Penggunaan Agen Atera oleh MuddyWater dimulai pada Juli 2022.

Pergeseran taktik MuddyWater terjadi ketika kelompok hacktivist Iran yang dijuluki Lord Nemesis menargetkan sektor akademis Israel dengan melanggar penyedia layanan perangkat lunak bernama Rashim Software dalam kasus serangan rantai pasokan perangkat lunak.

“Lord Nemesis diduga menggunakan kredensial yang diperoleh dari pelanggaran Rashim untuk menyusup ke beberapa klien perusahaan, termasuk banyak lembaga akademis,” kata Op Innovate . “Kelompok ini mengklaim telah memperoleh informasi sensitif selama pelanggaran tersebut, yang mungkin mereka gunakan untuk serangan lebih lanjut atau untuk memberikan tekanan pada organisasi yang terkena dampak.”

Lord Nemesis diyakini telah menggunakan akses tidak sah yang diperolehnya ke infrastruktur Rashim dengan membajak akun admin dan memanfaatkan perlindungan otentikasi multi-faktor (MFA) perusahaan yang tidak memadai untuk mengambil data pribadi yang diinginkan.

Mereka juga mengirimkan pesan email ke lebih dari 200 pelanggannya pada tanggal 4 Maret 2024, empat bulan setelah pelanggaran awal terjadi, yang merinci sejauh mana insiden tersebut. Metode pasti yang digunakan pelaku ancaman untuk mendapatkan akses ke sistem Rashim tidak diungkapkan.

“Insiden ini menyoroti risiko signifikan yang ditimbulkan oleh vendor dan mitra pihak ketiga (serangan rantai pasokan),” kata peneliti keamanan Roy Golombick. “Serangan ini menyoroti meningkatnya ancaman dari aktor-aktor negara yang menargetkan perusahaan-perusahaan kecil dan terbatas sumber dayanya sebagai sarana untuk memajukan agenda geo-politik mereka.”

“Dengan berhasil menyusupi akun admin Rashim, grup Lord Nemesis secara efektif menghindari langkah-langkah keamanan yang diterapkan oleh banyak organisasi, memberikan mereka hak istimewa yang lebih tinggi dan akses tak terbatas ke sistem dan data sensitif.”

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *