Cyberthreat.id – Aktor ancaman MuddyWater yang terkait dengan Iran telah diamati menargetkan beberapa negara di Timur Tengah serta Asia Tengah dan Barat sebagai bagian dari aktivitas spear-phishing baru.

"Kampanye tersebut diamati menargetkan Armenia, Azerbaijan, Mesir, Irak, Israel, Yordania, Oman, Qatar, Tajikistan, dan Uni Emirat Arab," kata Simon Kenin, peneliti Deep Instinct dalam sebuah laporan, sesuai yang dikutip dari Bleeping Computer.

MuddyWater, juga disebut Boggy Serpens, Cobalt Ulster, Earth Vetala, Mercury, Seedworm, Static Kitten, dan TEMP.Zagros, dikatakan sebagai elemen bawahan dalam Kementerian Intelijen dan Keamanan (MOIS) Iran. Kelompok ini, aktif setidaknya sejak 2017, serangan yang dilakukan oleh kelompok spionase biasanya menargetkan sektor telekomunikasi, pemerintah, pertahanan, dan minyak.

Menurut laporan tersebut, set intrusi saat ini mengikuti modus operandi lama MuddyWater menggunakan umpan phishing yang berisi tautan Dropbox langsung atau lampiran dokumen dengan URL tersemat yang menunjuk ke file arsip ZIP. Pesan dikirim dari akun email korporat yang sudah disusupi, yang ditawarkan untuk dijual di darknet oleh toko email web seperti Xleet, Odin, Xmina, dan Lufix di mana saja antara $8 hingga $25 per akun.

Sementara file arsip sebelumnya menyimpan penginstal untuk alat yang sah seperti ScreenConnect dan RemoteUtilities, aktor tersebut diamati beralih ke Agen Atera pada Juli 2022 dalam upaya untuk terbang di bawah radar.

Namun sebagai tanda lebih lanjut bahwa kampanye sedang aktif dipelihara dan diperbarui, taktik serangan telah di-tweak lagi untuk menghadirkan alat administrasi jarak jauh yang berbeda bernama Syncro. Perangkat lunak MSP terintegrasi menawarkan cara untuk sepenuhnya mengendalikan mesin, memungkinkan musuh melakukan pengintaian, menyebarkan pintu belakang tambahan, dan bahkan menjual akses ke aktor lain.

"Aktor ancaman yang memiliki akses ke mesin perusahaan melalui kemampuan seperti itu memiliki opsi yang hampir tidak terbatas," kata Kenin.

Temuan itu muncul ketika Deep Instinct juga menemukan komponen malware baru yang digunakan oleh kelompok yang berbasis di Lebanon yang dilacak sebagai Polonium dalam serangannya yang ditujukan khusus untuk entitas Israel.

"Polonium mengoordinasikan operasinya dengan beberapa kelompok aktor terlacak yang berafiliasi dengan Kementerian Intelijen dan Keamanan Iran (MOIS), berdasarkan tumpang tindih korban dan teknik serta alat umum berikut," kata Microsoft pada Juni 2022.