El grupo estado-nación iraní conocido como Agua fangosa se ha atribuido a una nueva campaña que ha aprovechado una cuenta de correo electrónico comprometida para distribuir una puerta trasera llamada Phoenix a varias organizaciones de la región de Oriente Medio y el Norte de África (MENA), incluidas más de 100 entidades gubernamentales.
El objetivo final de la campaña es infiltrarse en objetivos de alto valor y facilitar la recopilación de información, dijo la empresa singapurense de ciberseguridad Group-IB en un informe técnico publicado hoy.
Más de las tres cuartas partes de los objetivos de la campaña incluyen embajadas, misiones diplomáticas, ministerios de relaciones exteriores y consulados, seguidos de organizaciones internacionales y empresas de telecomunicaciones.
«MuddyWater accedió al buzón comprometido a través de NordVPN (un servicio legítimo del que abusó el actor de la amenaza) y lo utilizó para enviar correos electrónicos de suplantación de identidad que parecían ser correspondencia auténtica». dijo los investigadores de seguridad Mahmoud Zohdy y Mansour Alhmoud.
«Al aprovechar la confianza y la autoridad asociadas a este tipo de comunicaciones, la campaña aumentó significativamente sus posibilidades de engañar a los destinatarios para que abrieran los archivos adjuntos maliciosos».
Básicamente, la cadena de ataque implica que el actor de la amenaza distribuya documentos de Microsoft Word convertidos en armas que, al abrirse, piden a los destinatarios del correo electrónico que habiliten las macros para ver el contenido. Una vez que el usuario desprevenido habilita la función, el documento procede a ejecutar código malicioso de Visual Basic para Aplicaciones (VBA), lo que resulta en el despliegue de la versión 4 del backdoor de Phoenix.
El backdoor se lanza mediante un cargador llamado FakeUpdate que el cuentagotas de VBA decodifica y escribe en el disco. El cargador contiene la carga útil Phoenix cifrada con el estándar de cifrado avanzado (AES).
Se considera que MuddyWater, también llamada Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm (anteriormente Mercury), Seedworm, Static Kitten, TA450, Temp.zagros y Yellow Nix, está afiliada al Ministerio de Inteligencia y Seguridad (MOIS) de Irán. Se sabe que está activo al menos desde 2017.
El uso de Phoenix por parte del actor de amenazas fue primera documentación de Group-IB el mes pasado, describiéndolo como una versión ligera de Bug Sleep , un implante basado en Python vinculado a MuddyWater. Se han detectado dos variantes diferentes de Phoenix (versión 3 y versión 4) en estado salvaje.
El proveedor de ciberseguridad dijo que también se descubrió que el servidor de comando y control (C2) del atacante («159.198.36 [.] 115») alojaba utilidades de monitoreo y administración remotas (RMM) y un ladrón de credenciales de navegador web personalizado dirigido a Brave, Google Chrome, Microsoft Edge y Opera, lo que sugiere su posible uso en la operación. Vale la pena señalar que MuddyWater tiene un historial de distribución de software de acceso remoto a través de campañas de suplantación de identidad a lo largo de los años.
«Al implementar variantes de malware actualizadas, como la puerta trasera Phoenix v4, el inyector FakeUpdate y herramientas personalizadas para robar credenciales, junto con utilidades de RMM legítimas, como PDQ y Action1, MuddyWater demostró una mayor capacidad para integrar código personalizado con herramientas comerciales para mejorar el sigilo y la persistencia», afirman los investigadores.