⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ator de ameaça iraniano conhecido como MuddyWater foi atribuído a uma campanha de spear-phishing visando entidades diplomáticas, marítimas, financeiras e de telecomunicações no Oriente Médio com um implante baseado em Rust de codinome RustyWater.
“A campanha usa falsificação de ícones e documentos maliciosos do Word para fornecer implantes baseados em Rust capazes de C2 assíncrono, anti-análise, persistência de registro e expansão modular da capacidade pós-comprometimento”, disse Prajwal Awasthi, reinicializador do CloudSEK, em um relatório publicado esta semana.
O desenvolvimento mais recente reflete a evolução contínua da habilidade comercial da MuddyWater, que reduziu gradualmente, mas de forma constante, sua dependência de software legítimo de acesso remoto como uma ferramenta pós-exploração em favor de um arsenal diversificado de malware, incluindo ferramentas como Phoenix, UDPGangster, BugSleep (também conhecido como MuddyRot) e MuddyViper.
Também rastreado como Mango Sandstorm, Static Kitten e TA450, o grupo de hackers é considerado afiliado ao Ministério de Inteligência e Segurança do Irã (MOIS). Está operacional desde pelo menos 2017.
As cadeias de ataque que distribuem o RustyWater são bastante diretas: e-mails de spear-phishing disfarçados de diretrizes de segurança cibernética são atacados com um documento do Microsoft Word que, quando aberto, instrui a vítima a “ativar conteúdo” para ativar a execução de uma macro VBA maliciosa responsável pela implantação do binário de implante Rust.
Também conhecido como Archer RAT e RUSTRIC, RustyWater reúne informações da máquina da vítima, detecta software de segurança instalado, configura a persistência por meio de uma chave de registro do Windows e estabelece contato com um servidor de comando e controle (C2) ("nomercys.it[.]com") para facilitar as operações de arquivos e a execução de comandos.
É importante notar que o uso de RUSTRIC foi sinalizado pelo Seqrite Labs no final do mês passado como parte de ataques direcionados a empresas de tecnologia da informação (TI), provedores de serviços gerenciados (MSPs), recursos humanos e desenvolvimento de software em Israel. A atividade está sendo monitorada pela empresa de segurança cibernética sob os nomes UNG0801 e Operation IconCat.
“Historicamente, a MuddyWater confiou nos carregadores PowerShell e VBS para acesso inicial e operações pós-comprometimento”, disse CloudSEK. "A introdução de implantes baseados em Rust representa uma evolução notável de ferramentas em direção a recursos de RAT mais estruturados, modulares e de baixo ruído."
“A campanha usa falsificação de ícones e documentos maliciosos do Word para fornecer implantes baseados em Rust capazes de C2 assíncrono, anti-análise, persistência de registro e expansão modular da capacidade pós-comprometimento”, disse Prajwal Awasthi, reinicializador do CloudSEK, em um relatório publicado esta semana.
O desenvolvimento mais recente reflete a evolução contínua da habilidade comercial da MuddyWater, que reduziu gradualmente, mas de forma constante, sua dependência de software legítimo de acesso remoto como uma ferramenta pós-exploração em favor de um arsenal diversificado de malware, incluindo ferramentas como Phoenix, UDPGangster, BugSleep (também conhecido como MuddyRot) e MuddyViper.
Também rastreado como Mango Sandstorm, Static Kitten e TA450, o grupo de hackers é considerado afiliado ao Ministério de Inteligência e Segurança do Irã (MOIS). Está operacional desde pelo menos 2017.
As cadeias de ataque que distribuem o RustyWater são bastante diretas: e-mails de spear-phishing disfarçados de diretrizes de segurança cibernética são atacados com um documento do Microsoft Word que, quando aberto, instrui a vítima a “ativar conteúdo” para ativar a execução de uma macro VBA maliciosa responsável pela implantação do binário de implante Rust.
Também conhecido como Archer RAT e RUSTRIC, RustyWater reúne informações da máquina da vítima, detecta software de segurança instalado, configura a persistência por meio de uma chave de registro do Windows e estabelece contato com um servidor de comando e controle (C2) ("nomercys.it[.]com") para facilitar as operações de arquivos e a execução de comandos.
É importante notar que o uso de RUSTRIC foi sinalizado pelo Seqrite Labs no final do mês passado como parte de ataques direcionados a empresas de tecnologia da informação (TI), provedores de serviços gerenciados (MSPs), recursos humanos e desenvolvimento de software em Israel. A atividade está sendo monitorada pela empresa de segurança cibernética sob os nomes UNG0801 e Operation IconCat.
“Historicamente, a MuddyWater confiou nos carregadores PowerShell e VBS para acesso inicial e operações pós-comprometimento”, disse CloudSEK. "A introdução de implantes baseados em Rust representa uma evolução notável de ferramentas em direção a recursos de RAT mais estruturados, modulares e de baixo ruído."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #muddywater #lança #rustywater #rat #por #meio #de #spearphishing #em #setores #do #oriente #médio
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário