Iránski hackeri využívajú ScreenConnect na špehovanie vládnych agentúr SAE a Kuvajtu

Podľa nového výskumu sú vládne agentúry SAE a Kuvajtu cieľom novej kyberšpionážnej kampane, ktorú potenciálne vykonávajú iránski aktéri hrozieb.

Anomali pripísal operáciu ako prácu Static Kitten (aka MERCURY alebo MuddyWater) a uviedol, že „cieľom tejto aktivity je nainštalovať nástroj na vzdialenú správu tzv. ScreenConnect (získané ConnectWise 2015) s jedinečnými parametrami spúšťania, ktoré majú vlastné vlastnosti,“ so vzorkami malvéru a adresami URL, ktoré sa maskujú ako Ministerstvo zahraničných vecí (MOFA) Kuvajtu a Národná rada SAE.

Od svojho počiatku v roku 2017 je MuddyWater spojený s množstvom útokov predovšetkým proti krajinám Blízkeho východu, pričom aktívne využíva zraniteľnosť Zerologonu v skutočných útočných kampaniach na útoky na prominentné izraelské organizácie škodlivými nákladmi.

Predpokladá sa, že štátom podporovaná hackerská skupina pracuje na príkaz Iránskej gardy Islamskej republiky, hlavnej spravodajskej a vojenskej služby v krajine.

Anomali uviedol, že si všimol dva samostatné súbory ZIP s návnadou umiestnené na Onehub, ktoré tvrdili, že obsahujú správu o vzťahoch medzi arabskými krajinami a Izraelom alebo súbor týkajúci sa štipendií.

„Adresy URL distribuované prostredníctvom týchto phishingových e-mailov nasmerujú príjemcov na zamýšľané miesto na ukladanie súborov na Onehub, legitímnu službu, o ktorej je známe, že ju Static Kitten používa na nekalé účely,“ poznamenali výskumníci a dodali, že „Static Kitten naďalej používa Onehub na hosťovanie súbor obsahujúci ScreenConnect.”

Útok začína nasmerovaním používateľov na adresu URL sťahovača smerujúcu na tieto súbory ZIP prostredníctvom phishingového e-mailu, ktorý po otvorení spustí proces inštalácie ScreenConnect a následne ho použije na komunikáciu s protivníkom. Samotné adresy URL sú distribuované prostredníctvom návnadových dokumentov vložených do e-mailov.

ConnectWise Control (predtým nazývaný ScreenConnect) je samoobslužná softvérová aplikácia pre vzdialenú plochu s podporou bezobslužného prístupu a vedenia stretnutí s funkciami zdieľania obrazovky.

Zdá sa, že konečným cieľom útočníkov je použiť softvér na pripojenie ku koncovým bodom v klientskych sieťach, čo im umožní vykonávať ďalšie bočné pohyby a vykonávať ľubovoľné príkazy v cieľových prostrediach v snahe uľahčiť krádež údajov.

„Využitie legitímneho softvéru na škodlivé účely môže byť pre aktérov hrozieb účinným spôsobom, ako zahmliť svoje operácie,“ uzavreli vedci. “V tomto najnovšom príklade Static Kitten veľmi pravdepodobne používa funkcie ScreenConnect na odcudzenie citlivých informácií alebo stiahnutie malvéru pre ďalšie kybernetické operácie.”