MuddyWater is een cyberspionagegroep die gelinkt is aan het Iraanse Ministerie van Inlichtingen en Veiligheid (MOIS) en is actief sinds 2017. Deze Advanced Persistent Threats-groep (APT-groep) richt zich vooral op slachtoffers in het Midden-Oosten, Azië, Afrika, Europa en Noord-Amerika. Daarbij richten ze zich op telecommunicatiebedrijven, overheidsorganisaties en de segmenten olie & gas en energie.
In een campagne van MuddyWater van oktober 2022 werden vier slachtoffers aangevallen via misbruik van SimpleHelp, een legitieme remote acces tool (RAT), en remote supportsoftware die door MSP’s wordt gebruikt. Dit laat zien dat het belang van inzicht in dergelijke activiteiten voor MSP’s erg belangrijk is.
De tactieken van MuddyWater
ESET-research ontdekte dat wanneer SimpleHelp aanwezig was op de schijf van een slachtoffer, MuddyWater een omgekeerde verbinding in kon zetten om het systeem van het slachtoffer te verbinden met hun Command and Control servers. Daarnaast zijn MuddyWater-operators ook al bezig met het pushen van MiniDump, CredNinja en een nieuwe versie van de wachtwoord-dumper MKL64.
Met het gebruik van MiniDump kan Muddywater referenties verkrijgen uit LSASS-dumps (Local Security Authority Subsystem Service) en met het gebruik van de CredNinja penetratietesttool en MSP-tools is het mogelijk voor MuddyWater om toegang te krijgen tot systemen van de slachtoffers.
ESET is ook achter andere tactieken gekomen die met de groep MuddyWater te maken hebben. Een voorbeeld van een tactiek is stagnografie, hierbij worden gegevens uit digitale media verduisterd. Uit een rapport uit 2018 van ClearSky Cyber Security, over MuddyWater Operations in Libanon en Oman, wordt dit gebruik ook gedocumenteert en worden hashes gedeeld voor malware verborgen in verschillende valse cv’s - MyCV.doc. ESET detecteert de versluierde malware als VBA/TrojanDownloader.Agent.
Sinds de publicatie van het ClearSky report zijn er vier jaar voorbijgegaan en is het aantal ESET-detecties gedaald van de zevende positie in het T3 2021 Threat Report (3.4%) naar de laatste positie in het T3 2022 Threat Report (1.8%). De VBA/TrojanDownloader.Agent blijft echter in de top 10 van malware detecties.
Een oproep tot actie voor MSP’s en ondernemingen
MSP-admins, die toonaangevende productiviteitstools configureren, zoals Microsoft Word/Office 365/Outlook, struikelen over precies die dreigingsvectoren die de netwerken die zij beheren bedreigen. Tegelijkertijd hebben SOC-teamleden mogelijk hun eigen EDR/XDR-tools goed geconfigureerd om te identificeren of APT's zoals MuddyWater of criminele entiteiten proberen deze technieken, zoals steganografie, te gebruiken om toegang te krijgen tot de systemen van henzelf of hun klanten.
MSP’s hebben zowel vertrouwde netwerkverbindingen als bevoorrechte toegang tot klantsystemen nodig om diensten te kunnen verlenen. Dit betekent dat zij risico’s en verantwoordelijkheid voor grote aantallen klanten opstapelen. Het is belangrijk dat klanten risico’s kunnen overnemen van de activiteiten en de omgeving van hun gekozen MSP. XDR is dan ook een essentieel hulpmiddel bij het verkrijgen van inzicht in zowel hun eigen omgeving als de endpoints, apparaten en netwerken van klanten. Om ervoor te zorgen dat opkomende bedreigingen, riskant gedrag van medewerkers en ongewenste toepassingen geen gevaar vormen voor hun winst of reputatie. Het volwassen gebruik van XDR-tools door MSP’s geeft ook aan dat zij een actieve rol spelen bij het bieden van een specifieke beveiligingslaag voor de bevoorrechte toegang die hun door klanten wordt verleend.
Als ervaren MSP’s XDR beheren, zijn ze in een veel betere positie om een diversiteit aan dreigingen tegen te gaan, waaronder APT-groepen die de positie van hun klanten in zowel de fysieke als de digitale toeleveringsketen willen uitbuiten. Als verdedigers dragen SOC-teams en MSP-beheerders een dubbele last, namelijk het handhaven van intern zicht en zicht op de netwerken van klanten. Klanten moeten zich zorgen maken over het beveiligingsbeleid van hun MSP’s en inzicht hebben in de dreigingen waarmee zij worden geconfronteerd, om te voorkomen dat een bedreiging van hun provider leidt tot een bedreiging van henzelf.