Cyberthreat.id – Hacker Iran yang dikenal sebagai MuddyWater dikaitkan dengan spear-phishing baru yang menargetkan dua entitas Israel menggunakan alat administrasi jarak jauh yang sah dari N-able yang disebut Advanced Monitoring Agent.

The Hacker News menyebutkan perusahaan keamanan siber Deep Instinct, yang mengungkapkan rincian serangan tersebut, mengatakan bahwa kampanye tersebut “menunjukkan TTP yang diperbarui dari aktivitas MuddyWater yang dilaporkan sebelumnya,” yang, di masa lalu, menggunakan rantai serangan serupa untuk mendistribusikan alat akses jarak jauh lainnya seperti ScreenConnect, RemoteUtilities, Syncro, dan Bantuan Sederhana.

Meskipun perkembangan terbaru menandai pertama kalinya MuddyWater diamati menggunakan perangkat lunak pemantauan jarak jauh N-able, hal ini juga menggarisbawahi fakta bahwa sebagian besar modus operandi yang tidak berubah terus menghasilkan tingkat keberhasilan tertentu bagi pelaku ancaman.

Temuan ini juga telah dikonfirmasi secara terpisah oleh perusahaan keamanan siber Group-IB dalam postingan yang dibagikan di X (sebelumnya Twitter).

Kelompok yang disponsori negara ini adalah kru spionase dunia maya yang dikatakan sebagai elemen bawahan dalam Kementerian Intelijen dan Keamanan Iran (MOIS), bergabung dengan kelompok yang berafiliasi dengan MOIS lainnya seperti OilRig, Lyceum, Agrius, dan Scarred Manticore. Ini telah aktif setidaknya sejak 2017.

Rangkaian serangan sebelumnya melibatkan pengiriman email spear-phishing dengan tautan langsung serta lampiran HTML, PDF, dan RTF yang berisi tautan ke arsip yang dihosting di berbagai platform berbagi file yang pada akhirnya menjatuhkan salah satu alat administrasi jarak jauh yang disebutkan di atas.

Taktik dan alat terbaru dalam beberapa hal mewakili kelanjutan, dan dalam hal lain merupakan evolusi, untuk kelompok yang dikenal sebagai Mango Sandstorm dan Static Kitten.

Yang berbeda kali ini adalah penggunaan layanan berbagi file baru bernama Storyblok untuk memulai vektor infeksi multi-tahap.

“Ini berisi file tersembunyi, file LNK yang memulai infeksi, dan file yang dapat dieksekusi yang dirancang untuk menyembunyikan dokumen umpan saat menjalankan Advanced Monitoring Agent, alat administrasi jarak jauh,” kata peneliti keamanan Simon Kenin dalam analisis hari Rabu sebagaimana dikutip The Hacker News.

"Setelah korban terinfeksi, operator MuddyWater akan terhubung ke host yang terinfeksi menggunakan alat administrasi jarak jauh yang sah dan akan mulai melakukan pengintaian terhadap target."

Dokumen iming-iming yang diperlihatkan kepada korban merupakan memo resmi dari Komisi Pelayanan Sipil Israel, yang dapat diunduh secara publik dari situs resminya.

Sebagai tanda lebih lanjut dari peningkatan pesat kemampuan siber berbahaya di Iran, Deep Instinct mengatakan pihaknya juga melihat aktor MuddyWater memanfaatkan kerangka perintah dan kontrol (C2) baru yang disebut MuddyC2Go, penerus MuddyC3 dan PhonyC2.[]