Os investigadores da ESET identificaram novas atividades do MuddyWater visando principalmente organizações em Israel, com um alvo confirmado no Egito. As vítimas em Israel estavam nos setores de tecnologia, engenharia, produção industrial, governo local e educação. O MuddyWater, também conhecido como Mango Sandstorm ou TA450, é um grupo de ciberespionagem alinhado com o Irão, conhecido por atacar persistentemente setores governamentais e de infraestruturas críticas, muitas vezes utilizando malware personalizado e ferramentas disponíveis publicamente, e tem ligações com o Ministério da Inteligência e Segurança Nacional do Irão.
Nesta campanha, os atacantes utilizaram um conjunto de ferramentas personalizadas, anteriormente não documentadas, com o objetivo de melhorar a evasão da defesa e a persistência. O novo backdoor MuddyViper permite aos atacantes recolher informações do sistema, executar ficheiros e comandos shell, transferir ficheiros e extrair credenciais de login do Windows e dados do navegador. A campanha utiliza outros ladrões de credenciais. Entre essas ferramentas está o Fooder, um carregador personalizado que se disfarça como o clássico jogo Snake.
O acesso inicial é normalmente obtido através de emails de spearphishing, que muitas vezes contêm anexos em PDF com links para instaladores de software de monitorização e gestão remota (RMM) hospedados em plataformas gratuitas de partilha de ficheiros, como OneHub, Egnyte ou Mega. Estes links levam ao download de ferramentas como Atera, Level, PDQ e SimpleHelp. Entre as ferramentas utilizadas pelos operadores do MuddyWater está também o backdoor VAX One, cujo nome deriva do software legítimo que imita: Veeam, AnyDesk, Xerox e o serviço de atualização OneDrive.
A dependência contínua do grupo em relação a este manual familiar torna a sua atividade relativamente fácil de detetar e bloquear. No entanto, neste caso, o grupo também utilizou técnicas mais avançadas para implantar o MuddyViper usando o Fooder, que carrega reflexivamente o MuddyViper na memória e executa-o. Várias versões do Fooder disfarçam-se como o clássico jogo Snake, daí a designação MuddyViper. Outra característica notável do Fooder é o uso frequente de uma função de atraso personalizada que implementa a lógica central do jogo Snake, combinada com chamadas de API ‘Sleep’. Estes recursos têm como objetivo atrasar a execução, na tentativa de ocultar o comportamento malicioso dos sistemas de análise automatizados.
Para além disso, os desenvolvedores do MuddyWater adotaram o CNG, a API criptográfica de última geração do Windows, que é exclusiva para grupos alinhados com o Irão e um tanto atípica no cenário mais amplo de ameaças. Durante esta campanha, os operadores evitaram deliberadamente sessões interativas com o teclado, uma técnica historicamente ruidosa, frequentemente caracterizada por comandos digitados incorretamente. Assim, embora alguns componentes continuem ruidosos e facilmente detetáveis, como é típico do MuddyWater, no geral esta campanha mostra sinais de evolução técnica – maior precisão, segmentação estratégica e um conjunto de ferramentas mais avançado.
O conjunto de ferramentas pós-comprometimento também inclui vários ladrões de credenciais: CE-Notes, que tem como alvo navegadores baseados em Chromium; LP-Notes, que armazena e verifica credenciais roubadas; e Blub, que rouba dados de login dos navegadores Chrome, Edge, Firefox e Opera.
O MuddyWater foi apresentado ao público pela primeira vez em 2017 pela Unit 42, cuja descrição das atividades do grupo é consistente com o perfil traçado pela ESET – foco em ciberespionagem, uso de documentos maliciosos como anexos concebidos para levar os utilizadores a ativar macros e contornar controlos de segurança, e alvos principalmente em entidades localizadas no Médio Oriente.
Entre as atividades passadas notáveis estão a Operação Quicksand (2020), uma campanha de ciberespionagem que visava entidades governamentais e organizações de telecomunicações israelitas, que exemplifica a evolução do grupo em táticas básicas de phishing para operações mais avançadas e em várias etapas; e uma campanha que visava grupos e organizações políticas na Turquia, demonstrando o foco geopolítico do grupo, a sua capacidade de adaptar táticas de engenharia social aos contextos locais e a sua dependência em malware modular e infraestrutura C&C flexível.
Detalhes técnicos: https://www.welivesecurity.com/en/eset-research/muddywater-snakes-riverbank/
