Uma sofisticada campanha de phishing de lança atribuída ao grupo APT Muddywater ligado ao iraniano está comprometendo ativamente os CFOs e executivos financeiros na Europa, América do Norte, América do Sul, África e Ásia.
Os atacantes representam recrutadores da Rothschild & Co, implantando páginas de phishing hospedadas em Firebase que incorporam desafios de Captcha baseados em matemática personalizados para fugir da detecção e dar legitimidade.
Essas iscas levam as vítimas a baixar arquivos de zip maliciosos contendo Scripts VBSque inicia uma cadeia de infecção de vários estágios.
Táticas de phishing em evolução
As cargas de pagamento abusam ferramentas legítimas de acesso remoto como Netbird e OpenSSH para estabelecer controle persistente, permitindo acesso ao Protocolo de Desktop Remote (RDP) e tarefas programadas automatizadas para infiltração de sistema de longo prazo.
Investigações revelar A infraestrutura muda de IP 192.3.95.152 para 198.46.178.135, com caminhos variados de carga útil, como / Job / e / Scan / dentro de projetos de Firebase, indicando técnicas de evasão adaptativa.
O vetor de ataque começa com e-mails socialmente projetados direcionando metas para domínios de phishing como Googl-6c11f.firebaseApp.com, onde um redirecionamento criptografado de criptografia, desbloqueado por meio de um portão de aritmética simples, encaminha os usuários para sites secundários.
Após a interação, as vítimas recebem Arquivos ZIP Disfarçado como PDFS, incorporando downloads de VBS que buscam cargas secundárias de servidores controlados por atacantes.
Esses scripts instalam silenciosamente o Netbird e OpenSsh, configuram serviços de partida automática e criam contas de administrador local ocultas com credenciais como “Usuário / BS@202122”.
A persistência é reforçada por meio de modificações do registro para desativar a expiração de senha, a ativação do RDP com ajustes de firewall e tarefas programadas que reiniciam o Netbird Post-Boot, enquanto remove os atalhos da área de trabalho para esconder o backdoor.
Análise estática de artefatos, incluindo cis.vbs e trm.zip, mostra táticas, técnicas e procedimentos consistentes (TTPs) sobrepostos a operações anteriores de Muddywater, como o abuso de ataagent.exe em gotas relacionadas.
Atribuição fortalecida
Girando padrões distintos, como desafios matemáticos em língua francesa e redirecionamentos criptografados por EAs, descobriram domínios adicionais de Firebase como Cloud-233f9.Web.App e Cloud-ED980.FireBaseApp.com, todos empregam kits de phishing semelhantes com passageiros de código hardcoded.
Isso leva a redirecionamentos maliciosos, incluindo My1CloudLive.com e Web-16fe.app, expandindo o escopo da campanha.
A referência cruzada com feeds de inteligência de ameaças, incluindo Maltrail e Virustotal, vincula a infraestrutura a Muddywater, principalmente por meio de IPS reutilizados que hospedam kits de ferramentas pegajosos e diretórios abertos espelhando estruturas de carga útil.
Por exemplo, o My-SharePoint-inc.com expôs os droppers do VBS que implantam a Ateraagent, alinhando-se às campanhas documentadas de Muddywater desde março de 2024.
Essa evolução sugere uma adaptação de adversário engenhosa à detecção, a mudança de comando e controle (C2), mantendo elementos centrais, como chaves de configuração do NetBird idênticas (E48E4A70-4CF4-4A77-946B-C8E50A60855A) e nomes de serviço.
A mitigação requer o bloqueio de IOCs associadas nos Perímetros de rede, instalações de ferramentas de auditoria por meio da lista de permissões de aplicativos e implantando regras de detecção de terminais para execução de VBS, criação de contas suspeitas e anomalias de serviço.
O mapeamento proativo de infraestrutura usando ferramentas como o HuntSQL pode descobrir essas ameaças mais cedo, impedindo a escalada para a exfiltração de dados ou um compromisso prolongado.
À medida que a Muddywater refina seus métodos, as organizações devem priorizar defesas e sandbox avançadas para combater o abuso de software legítimo em intrusões direcionadas.
Indicadores -chave de compromisso (IOCs)
| Tipo | Valor | Descrição |
|---|---|---|
| Domínio | googl-6c11f.firebaseApp.com | Página de phishing |
| Endereço IP | 198.46.178.135 | C2 Hosting |
| Arquivo | F-144822.vbs | Carga útil do VBS |
| Hash (MD5) | 0AA883CD659EF9957FDED2516B70C341 | cis.vbs |
| Credencial | Usuário / BS@202122 | Conta de administrador |
| Chave de configuração | E48E4A70-4CF4-4A77-946B-C8E50A60855A | Chave do Netbird |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!