بازیگر تهدید ایرانی معروف به MuddyWater به سنت آزمایش شده خود در تکیه بر ابزارهای قانونی مدیریت از راه دور برای فرماندهی سیستم های هدفمند ادامه می دهد.
در حالی که گروه قبلاً از ScreenConnect، RemoteUtilities و Syncro استفاده کرده است، یک تحلیل جدید از Group-IB استفاده از نرم افزار پشتیبانی از راه دور SimpleHelp را در ژوئن 2022 نشان می دهد.
MuddyWater که حداقل از سال 2017 فعال است. برخی از اهداف اصلی عبارتند از ترکیه، پاکستان، امارات متحده عربی، عراق، اسرائیل، عربستان سعودی، اردن، ایالات متحده آمریکا، آذربایجان و افغانستان.
نیکیتا روستوفتسف، تحلیلگر ارشد تهدید در Group-IB گفت: «MuddyWater از SimpleHelp، یک ابزار قانونی کنترل و مدیریت دستگاه از راه دور، برای اطمینان از پایداری دستگاههای قربانی استفاده میکند.
"SimpleHelp به خطر نیفتاده و همانطور که در نظر گرفته شده استفاده می شود. عوامل تهدید راهی برای دانلود ابزار از وب سایت رسمی و استفاده از آن در حملات خود پیدا کردند."
روش توزیع دقیق مورد استفاده برای حذف نمونههای SimpleHelp در حال حاضر نامشخص است، اگرچه این گروه به ارسال پیامهای فیشینگ نیزهای حاوی پیوندهای مخرب از صندوقهای پستی شرکتی که قبلاً در معرض خطر قرار گرفتهاند، میفرستد.
یافتههای Group-IB توسط شرکت امنیت سایبری اسلواکی ESET در اوایل ژانویه تأیید شد و جزئیات حملات MuddyWater در مصر و عربستان سعودی را که مستلزم استفاده از SimpleHelp برای استقرار ابزار تونلزنی معکوس Ligolo و یک برداشت کننده اعتبار به نام MKL64 بود، نشان میداد.
شرکت مستقر در سنگاپور همچنین گفت که توانسته است زیرساخت های ناشناخته ای را که توسط این گروه اداره می شود و همچنین یک اسکریپت PowerShell را شناسایی کند که قادر به دریافت دستورات از یک سرور راه دور است که نتایج آن به سرور ارسال می شود.
این افشاگری چند هفته پس از آن صورت میگیرد که مایکروسافت روشهای عملیاتی این گروه را برای انجام حملات مخرب به محیطهای ترکیبی تحت پوشش یک عملیات باجافزاری شرح داد.
در حالی که گروه قبلاً از ScreenConnect، RemoteUtilities و Syncro استفاده کرده است، یک تحلیل جدید از Group-IB استفاده از نرم افزار پشتیبانی از راه دور SimpleHelp را در ژوئن 2022 نشان می دهد.
MuddyWater که حداقل از سال 2017 فعال است. برخی از اهداف اصلی عبارتند از ترکیه، پاکستان، امارات متحده عربی، عراق، اسرائیل، عربستان سعودی، اردن، ایالات متحده آمریکا، آذربایجان و افغانستان.
نیکیتا روستوفتسف، تحلیلگر ارشد تهدید در Group-IB گفت: «MuddyWater از SimpleHelp، یک ابزار قانونی کنترل و مدیریت دستگاه از راه دور، برای اطمینان از پایداری دستگاههای قربانی استفاده میکند.
"SimpleHelp به خطر نیفتاده و همانطور که در نظر گرفته شده استفاده می شود. عوامل تهدید راهی برای دانلود ابزار از وب سایت رسمی و استفاده از آن در حملات خود پیدا کردند."
روش توزیع دقیق مورد استفاده برای حذف نمونههای SimpleHelp در حال حاضر نامشخص است، اگرچه این گروه به ارسال پیامهای فیشینگ نیزهای حاوی پیوندهای مخرب از صندوقهای پستی شرکتی که قبلاً در معرض خطر قرار گرفتهاند، میفرستد.
یافتههای Group-IB توسط شرکت امنیت سایبری اسلواکی ESET در اوایل ژانویه تأیید شد و جزئیات حملات MuddyWater در مصر و عربستان سعودی را که مستلزم استفاده از SimpleHelp برای استقرار ابزار تونلزنی معکوس Ligolo و یک برداشت کننده اعتبار به نام MKL64 بود، نشان میداد.
شرکت مستقر در سنگاپور همچنین گفت که توانسته است زیرساخت های ناشناخته ای را که توسط این گروه اداره می شود و همچنین یک اسکریپت PowerShell را شناسایی کند که قادر به دریافت دستورات از یک سرور راه دور است که نتایج آن به سرور ارسال می شود.
این افشاگری چند هفته پس از آن صورت میگیرد که مایکروسافت روشهای عملیاتی این گروه را برای انجام حملات مخرب به محیطهای ترکیبی تحت پوشش یک عملیات باجافزاری شرح داد.