- Gần đây, nhóm tấn công APT MuddyWater (hay còn gọi là StaticKitten) bị phát hiện đang sử dụng một công cụ quản trị từ xa tên là Syncro (công cụ tích hợp được thiết kế cho MSP) có sẵn miễn phí trong các hoạt động tấn công của mình.

Mục tiêu nhằm đến của chiến dịch là các tổ chức ở một số quốc gia bao gồm Armenia, Azerbaijan, Iraq, Jordan, Oman, Quatar, Tajikistan và UAE. Chiến dịch lần này, nhóm MuddyWater sử dụng các kỹ thuật lừa đảo trực tuyến và lừa đảo trực tiếp thông qua các tài khoản email bị tấn công.

Nhóm gửi email có tệp đính kèm HTML chứa liên kết để tải xuống SyncroMSI, thường được lưu trữ trên Microsoft’s OneDrive hoặc OneHub’s cloud. Khi Syncro được cài đặt, nó cung cấp toàn quyền kiểm soát hệ thống bị xâm nhập, đối tượng tấn công có thể triển khai các backdoor nhằm thiết lập sự duy trì sự truy nhập trong máy mục tiêu và đánh cắp dữ liệu.

Với việc sử dụng các công cụ quản trị từ xa hợp pháp như công cụ Syncro, công cụ mà nhiều MSP sử dụng, nhóm MuddyWater đang trở thành một mối đe dọa nguy hiểm và có độ ảnh hưởng lớn.

Theo Trung tâm Giám sát an toàn không gian mạng quốc gia, cơ quan, tổ chức sử dụng các công cụ như vậy nên theo dõi và quản lý nghiêm ngặt với các chính sách hợp lý, thực hiện các biện pháp phòng ngừa phù hợp để tránh trở thành mục tiêu tấn công của các mối đe dọa như này.

PV