27.03.2024 | MuddyWater меняет тактику: легитимное ПО вместо вредоносов |
ИБ-компания Proofpoint обнаружила новую фишинговую кампанию иранской группировки MuddyWater, в ходе которой распространяется легитимное ПО для удаленного мониторинга и управления Atera среди израильских организаций в сферах глобального производства, технологий и информационной безопасности. Отличительной чертой атаки, которая проходила с 7 по 11 марта, является размещение файлов на файлообменниках (Egnyte, Onehub, Sync и TeraBox) и использование фишинговых сообщений на тему оплаты счета либо с информацией по зарплате, отправленных со взломанного аккаунта, связанного с израильским доменом «co.il». Нажатие на ссылку во вложенном PDF-документе приводит к загрузке ZIP-архива, содержащего MSI-установщик, который в конечном итоге устанавливает Atera Agent в скомпрометированной системе. Группа MuddyWater начала использовать Atera Agent с июля 2022 года.
PDF-документ с вредоносной ссылкой введет к скачиванию архива Обнаруженная активность примечательна тем, что она знаменует собой поворот в тактике MuddyWater. Хотя кампания не является первым наблюдаемым случаем использования группой вложений с вредоносными ссылками, исследователи Proofpoint впервые наблюдали попытку MuddyWater доставить вредоносную ссылку во вложенном PDF-файле вместо прямой ссылки на файл в письме. Исследователи Proofpoint приписывают кампанию MuddyWater на основе известных техник, тактик и процедур ( TTPs ) группы, таргетинга кампании и анализа вредоносного ПО. В 2022 году Киберкомандование США связало группу с Министерством разведки и безопасности Ирана. |
Проверить безопасность сайта