تهدیدات سایبری ایرانی با نام MuddyWater به روش همیشگی آزمایش شده خود در تکیه بر ابزارهای قانونی مدیریت از راه دور جهت مدیریت سیستمهای هدف و قربانیها ادامه میدهد. درحالیکه این گروه دولت-ملت قبلا از ScreenConnect، RemoteUtilities و Syncro استفاده کرده است، یک تحلیل جدید که توسط Group-IB انجام شده، استفاده این گروه از نرمافزار پشتیبانی از راه دور SimpleHelp در ژوئن ٢٠٢٢ را نشان میدهد. گروه MuddyWater که از سال ٢٠١٧ فعال است، بهعنوان یک عنصر زیرمجموعه در وزارت اطلاعات و امنیت جمهوری اسلامی ارزیابی میشود. برخی از اهداف اصلی این گروه عبارتند از کشورهای پاکستان، امارات متحده عربی، ترکیه، عراق، عربستان، اردن، آمریکا، آذربایجان و افغانستان. یک تحلیلگر ارشد تهدید در Group-IB در ادعایی گفته که MuddyWater از SimpleHelp، که یک ابزار قانونی کنترل و مدیریت دستگاه از راه دور است، برای اطمینان از پایداری خود در دستگاههای قربانی استفاده میکند. SimpleHelp به خطر نیفتاده و همانطور که بوده و طراحی شده، استفاده میشود. اما عوامل تهدید راهی برای دانلود ابزار از وبسایت رسمی و استفاده از آن در حملات خود پیدا کردند. روش توزیع دقیق مورد استفاده برای حذف نمونههای SimpleHelp در حال حاضر نامشخص است، اگرچه این گروه به ارسال پیامهای spear-phishing حاوی لینکهای مخرب از میلباکسهای شرکتهایی که از قبل در معرض خطر هستند، اقدام مینماید. یافتههای Group-IB توسط شرکت امنیت سایبری اسلواکی ESET در اوایل ژانویه تایید شده است و جزئیات حملات MuddyWater در مصر و عربستان را که مستلزم استفاده از SimpleHelp برای استقرار ابزار تونلینگ معکوس Ligolo و یک برداشت کننده اعتبارنامه به نام MKL64 بود، نشان میداد.
بدون دیدگاه