Связанный с Ираном субъект угрозы, отслеживаемый как MuddyWater (он же Mango Sandstorm или TA450), был связан с новой фишинговой кампанией в марте 2024 года, целью которой является предоставление законного решения для удаленного мониторинга и управления (RMM) под названием Atera.
Активность, которая имела место с 7 по неделю 11 марта, была направлена против израильских организаций, охватывающих мировое производство, технологии и секторы информационной безопасности, сообщает Proofpoint.
"TA450 отправляла электронные письма с вложениями в формате PDF, которые содержали вредоносные ссылки", - сообщила компания по корпоративной безопасности. "Хотя этот метод не является чем-то новым для TA450, в последнее время злоумышленник полагался на включение вредоносных ссылок непосредственно в тексты сообщений электронной почты вместо добавления этого дополнительного шага".
Компания MuddyWater была причастна к атакам, направленным против израильских организаций, с конца октября 2023 года, при этом предыдущие выводы Deep Instinct раскрыли использование злоумышленником другого инструмента удаленного администрирования от N-able.
Это не первый случай, когда злоумышленник, предположительно связанный с Министерством разведки и безопасности Ирана (MOIS), оказался в центре внимания из–за использования законного программного обеспечения для удаленного рабочего стола для достижения своих стратегических целей. Также было замечено использование ScreenConnect, RemoteUtilities, Syncro и SimpleHelp.
Последние цепочки атак включают в себя внедрение MuddyWater ссылок на файлы, размещенные на файлообменных сайтах, таких как Egnyte, Onehub, Sync и TeraBox. Сообщается, что некоторые фишинговые сообщения на платную тематику были отправлены с вероятно скомпрометированной учетной записи электронной почты, связанной с доменом "co.il" (Израиль).
На следующем этапе нажатие на ссылку, присутствующую в документе PDF lure, приводит к извлечению ZIP-архива, содержащего установочный файл MSI, который в конечном итоге устанавливает агент Atera в взломанную систему. Использование MuddyWater агента Atera датируется июлем 2022 года.
Изменение тактики MuddyWater произошло после того, как иранская хактивистская группа, получившая название Lord Nemesis, нацелилась на израильский академический сектор, взломав поставщика программных услуг Rashim Software в рамках атаки на цепочку поставок программного обеспечения.
"Лорд Немезис предположительно использовал учетные данные, полученные в результате взлома Rashim, для проникновения в несколько клиентов компании, включая многочисленные академические институты", - сказал Op Innovate. "Группа утверждает, что получила конфиденциальную информацию во время взлома, которую они могут использовать для дальнейших атак или для оказания давления на пострадавшие организации".
Считается, что Lord Nemesis использовал несанкционированный доступ, полученный к инфраструктуре Rashim, путем взлома учетной записи администратора и использования неадекватных средств защиты от многофакторной аутентификации (MFA) компании для сбора интересующих персональных данных.
4 марта 2024 года, через четыре месяца после первоначального взлома, компания также разослала электронные сообщения более чем 200 своим клиентам с подробным описанием масштабов инцидента. Точный метод, с помощью которого субъект угрозы получил доступ к системам Рашима, не разглашается.
"Инцидент подчеркивает значительные риски, создаваемые сторонними поставщиками и партнерами (атака на цепочку поставок)", - сказал исследователь безопасности Рой Голомбик. "Эта атака подчеркивает растущую угрозу того, что субъекты национальных государств нацеливаются на небольшие компании с ограниченными ресурсами в качестве средства продвижения своих геополитических программ".
"Успешно скомпрометировав учетную запись администратора Рашима, группа Lord Nemesis эффективно обошла меры безопасности, введенные многочисленными организациями, предоставив себе повышенные привилегии и неограниченный доступ к конфиденциальным системам и данным".
Активность, которая имела место с 7 по неделю 11 марта, была направлена против израильских организаций, охватывающих мировое производство, технологии и секторы информационной безопасности, сообщает Proofpoint.
"TA450 отправляла электронные письма с вложениями в формате PDF, которые содержали вредоносные ссылки", - сообщила компания по корпоративной безопасности. "Хотя этот метод не является чем-то новым для TA450, в последнее время злоумышленник полагался на включение вредоносных ссылок непосредственно в тексты сообщений электронной почты вместо добавления этого дополнительного шага".
Компания MuddyWater была причастна к атакам, направленным против израильских организаций, с конца октября 2023 года, при этом предыдущие выводы Deep Instinct раскрыли использование злоумышленником другого инструмента удаленного администрирования от N-able.
Это не первый случай, когда злоумышленник, предположительно связанный с Министерством разведки и безопасности Ирана (MOIS), оказался в центре внимания из–за использования законного программного обеспечения для удаленного рабочего стола для достижения своих стратегических целей. Также было замечено использование ScreenConnect, RemoteUtilities, Syncro и SimpleHelp.
Последние цепочки атак включают в себя внедрение MuddyWater ссылок на файлы, размещенные на файлообменных сайтах, таких как Egnyte, Onehub, Sync и TeraBox. Сообщается, что некоторые фишинговые сообщения на платную тематику были отправлены с вероятно скомпрометированной учетной записи электронной почты, связанной с доменом "co.il" (Израиль).
На следующем этапе нажатие на ссылку, присутствующую в документе PDF lure, приводит к извлечению ZIP-архива, содержащего установочный файл MSI, который в конечном итоге устанавливает агент Atera в взломанную систему. Использование MuddyWater агента Atera датируется июлем 2022 года.
Изменение тактики MuddyWater произошло после того, как иранская хактивистская группа, получившая название Lord Nemesis, нацелилась на израильский академический сектор, взломав поставщика программных услуг Rashim Software в рамках атаки на цепочку поставок программного обеспечения.
"Лорд Немезис предположительно использовал учетные данные, полученные в результате взлома Rashim, для проникновения в несколько клиентов компании, включая многочисленные академические институты", - сказал Op Innovate. "Группа утверждает, что получила конфиденциальную информацию во время взлома, которую они могут использовать для дальнейших атак или для оказания давления на пострадавшие организации".
Считается, что Lord Nemesis использовал несанкционированный доступ, полученный к инфраструктуре Rashim, путем взлома учетной записи администратора и использования неадекватных средств защиты от многофакторной аутентификации (MFA) компании для сбора интересующих персональных данных.
4 марта 2024 года, через четыре месяца после первоначального взлома, компания также разослала электронные сообщения более чем 200 своим клиентам с подробным описанием масштабов инцидента. Точный метод, с помощью которого субъект угрозы получил доступ к системам Рашима, не разглашается.
"Инцидент подчеркивает значительные риски, создаваемые сторонними поставщиками и партнерами (атака на цепочку поставок)", - сказал исследователь безопасности Рой Голомбик. "Эта атака подчеркивает растущую угрозу того, что субъекты национальных государств нацеливаются на небольшие компании с ограниченными ресурсами в качестве средства продвижения своих геополитических программ".
"Успешно скомпрометировав учетную запись администратора Рашима, группа Lord Nemesis эффективно обошла меры безопасности, введенные многочисленными организациями, предоставив себе повышенные привилегии и неограниченный доступ к конфиденциальным системам и данным".
