被追踪为MuddyWater (又名 Mango Sandstorm 或 TA450)的伊朗APT组织与 2024 年 3 月的一次新网络钓鱼活动有关,该活动旨在提供名为 Atera 的合法远程监控和管理 (RMM) 解决方案。
Proofpoint 安全研究人员表示,该活动从 3 月 7 日到 3 月 11 日这一周进行,针对的是跨越全球制造、技术和信息安全领域的以色列实体。
该企业安全公司表示:“TA450 发送的电子邮件带有包含恶意链接的 PDF 附件。” “虽然这种方法对 TA450 来说并不陌生,攻击者最近依赖于直接在电子邮件正文中包含恶意链接,而不是添加此额外步骤。”
MuddyWater 被认为是自 2023 年 10 月下旬以来针对以色列组织的攻击活动中,使用了 N-able 的远程管理工具。
这并不是该组织第一次因其依赖合法远程桌面软件来实现其战略目标而受到关注,还观察到使用 ScreenConnect、RemoteUtilities、Syncro 和 SimpleHelp。
最新的攻击链涉及 MuddyWater 嵌入指向 Egnyte、Onehub、Sync 和 TeraBox 等文件共享网站上托管的文件链接。据称,一些以付费为主题的网络钓鱼邮件是从与“co.il”(以色列)域相关的可能已受感染的电子邮件帐户发送的。
在下一阶段,单击 PDF 诱饵文档中的链接将导致检索包含 MSI 安装程序文件的 ZIP 文件,该文件最终会在受感染的系统上安装 Atera Agent远程管理软件。MuddyWater 对 Atera Agent 的使用可以追溯到2022 年 7 月。
MuddyWater 策略发生转变之际,一个名为 Lord Nemesis 的伊朗黑客组织针对以色列学术界发起了软件供应链攻击,对一家名为 Rashim Software 的软件服务提供商进行了攻击。
OP Innovate 安全研究团队在一份报告中称,Lord Nemesis 组织使用从 Rashim 泄露事件中获得的凭证渗透到该公司的多个客户,包括众多学术机构。该组织声称在攻击活动中获得了敏感信息,他们可能会利用这些信息进行进一步的攻击或向受影响的组织施加压力。
Lord Nemesis 通过劫持管理员帐户并利用该公司不完善的多重身份验证 (MFA) 保护来获取 Rashim 基础设施的未经授权的访问权限来获取感兴趣的个人数据。
该公司还于 2024 年 3 月 4 日(即初次泄露事件发生四个月后)向 200 多名客户发送了电子邮件,详细说明了事件的严重程度,攻击者访问 Rashim 系统的确切方法尚未披露。
安全研究员 Roy Golombick 表示:“该事件凸显了第三方供应商和合作伙伴(供应链攻击)带来的重大风险。” “这次袭击突显了国家背景的黑客组织日益增长的威胁,他们以规模较小、资源有限的公司为目标,以此作为推进其地缘政治议程的手段。”
“通过成功入侵 Rashim 的管理帐户,Lord Nemesis 黑客组织有效规避了众多组织实施的安全措施,使自己获得更高权限并不受限制地访问敏感系统和数据。”
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/tkwD-AAo5HvRhFzDvT1TaQ
暂无评论内容