🌟 Atualização imperdÃvel para quem gosta de estar bem informado!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers iranianos da MuddyWater disfarçaram suas operações como um ataque de ransomware Chaos, contando com a engenharia social do Microsoft Teams para obter acesso e estabelecer persistência.
Embora o ataque envolvesse roubo de credenciais, persistência, acesso remoto, exfiltração de dados, e-mails de extorsão e uma entrada no portal de vazamento Chaos, os invasores usaram infraestrutura e técnicas associadas aos ataques MuddyWater.
Os pesquisadores do Rapid7 acreditam que o componente ransomware provavelmente foi usado para ocultar a operação real de espionagem cibernética e para complicar a atribuição.
"A estratégia destaca a convergência entre a actividade de intrusão patrocinada pelo Estado e o comércio criminoso, onde uma grande "indicação" reside nas técnicas que foram implementadas - e aquelas que não foram. Esta estratégia sugere que o objectivo principal não era o ganho financeiro", explica Rapid7.
Apesar da fachada, Rapid7 tem confiança moderada em atribuir o incidente ao MuddyWater, um grupo de ameaças também conhecido como Static Kitten, Mango Sandstorm e Seedworm.
A conclusão é baseada na sobreposição de infraestrutura, em um certificado de assinatura de código especÃfico que o grupo patrocinado pelo estado usou para assinar os malwares Stagecomp e Darkcomp atribuÃdos ao ator da ameaça e em várias técnicas operacionais.
MuddyWater é um grupo de ciberespionagem patrocinado pelo Estado iraniano, famoso por campanhas de intrusão de rede de longo prazo que se alinham com o Ministério de Inteligência e Segurança (MOIS) do paÃs.
The Chaos é uma operação de ransomware como serviço (RaaS) que surgiu em 2025 e é conhecida por ataques de caça de grande porte, táticas de dupla extorsão e campanhas de engenharia social visando principalmente organizações nos Estados Unidos.
Progressão de ataque
A intrusão que o Rapid7 examinou começou por meio da engenharia social do Microsoft Teams, onde os invasores iniciaram bate-papos com funcionários, estabeleceram sessões de compartilhamento de tela, coletaram credenciais, manipularam configurações de autenticação multifator (MFA) e, em alguns casos, implantaram AnyDesk para acesso remoto.
O roubo de credenciais ocorreu por meio de páginas de phishing disfarçadas de Microsoft Quick Assist ou enganando as vÃtimas para que digitassem suas senhas em arquivos de texto locais.
Depois de comprometer as contas, os invasores autenticaram-se em sistemas internos, incluindo um controlador de domÃnio, e estabeleceram persistência usando RDP, DWAgent e AnyDesk.
Em seguida, eles aproveitaram um carregador de malware (ms_upd.exe) para lançar um backdoor personalizado (Game.exe), disfarçado como um aplicativo Microsoft WebView2.
O malware apresenta verificações anti-análise e anti-VM e suporta 12 comandos, incluindo execução de comandos PowerShell e CMD, upload e exclusão de arquivos e acesso persistente ao shell.
Visão geral do ataqueFonte: Rapid7
Rapid7 observa que a MuddyWater usou ransomware no passado para mascarar suas operações de espionagem cibernética. No final de 2025, o agente da ameaça implantou o ransomware Qilin em um ataque contra uma organização israelense.
Os pesquisadores sugerem que o grupo de ameaças pode ter mudado para uma marca de ransomware diferente após a atribuição daquele final de 2025 aos agentes do MOIS.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
Embora o ataque envolvesse roubo de credenciais, persistência, acesso remoto, exfiltração de dados, e-mails de extorsão e uma entrada no portal de vazamento Chaos, os invasores usaram infraestrutura e técnicas associadas aos ataques MuddyWater.
Os pesquisadores do Rapid7 acreditam que o componente ransomware provavelmente foi usado para ocultar a operação real de espionagem cibernética e para complicar a atribuição.
"A estratégia destaca a convergência entre a actividade de intrusão patrocinada pelo Estado e o comércio criminoso, onde uma grande "indicação" reside nas técnicas que foram implementadas - e aquelas que não foram. Esta estratégia sugere que o objectivo principal não era o ganho financeiro", explica Rapid7.
Apesar da fachada, Rapid7 tem confiança moderada em atribuir o incidente ao MuddyWater, um grupo de ameaças também conhecido como Static Kitten, Mango Sandstorm e Seedworm.
A conclusão é baseada na sobreposição de infraestrutura, em um certificado de assinatura de código especÃfico que o grupo patrocinado pelo estado usou para assinar os malwares Stagecomp e Darkcomp atribuÃdos ao ator da ameaça e em várias técnicas operacionais.
MuddyWater é um grupo de ciberespionagem patrocinado pelo Estado iraniano, famoso por campanhas de intrusão de rede de longo prazo que se alinham com o Ministério de Inteligência e Segurança (MOIS) do paÃs.
The Chaos é uma operação de ransomware como serviço (RaaS) que surgiu em 2025 e é conhecida por ataques de caça de grande porte, táticas de dupla extorsão e campanhas de engenharia social visando principalmente organizações nos Estados Unidos.
Progressão de ataque
A intrusão que o Rapid7 examinou começou por meio da engenharia social do Microsoft Teams, onde os invasores iniciaram bate-papos com funcionários, estabeleceram sessões de compartilhamento de tela, coletaram credenciais, manipularam configurações de autenticação multifator (MFA) e, em alguns casos, implantaram AnyDesk para acesso remoto.
O roubo de credenciais ocorreu por meio de páginas de phishing disfarçadas de Microsoft Quick Assist ou enganando as vÃtimas para que digitassem suas senhas em arquivos de texto locais.
Depois de comprometer as contas, os invasores autenticaram-se em sistemas internos, incluindo um controlador de domÃnio, e estabeleceram persistência usando RDP, DWAgent e AnyDesk.
Em seguida, eles aproveitaram um carregador de malware (ms_upd.exe) para lançar um backdoor personalizado (Game.exe), disfarçado como um aplicativo Microsoft WebView2.
O malware apresenta verificações anti-análise e anti-VM e suporta 12 comandos, incluindo execução de comandos PowerShell e CMD, upload e exclusão de arquivos e acesso persistente ao shell.
Visão geral do ataqueFonte: Rapid7
Rapid7 observa que a MuddyWater usou ransomware no passado para mascarar suas operações de espionagem cibernética. No final de 2025, o agente da ameaça implantou o ransomware Qilin em um ataque contra uma organização israelense.
Os pesquisadores sugerem que o grupo de ameaças pode ter mudado para uma marca de ransomware diferente após a atribuição daquele final de 2025 aos agentes do MOIS.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #os #hackers #da #muddywater #usam #o #ransomware #chaos #como #isca #em #ataques
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário