MuddyWater借助Atera向以色列员工发起钓鱼攻击
2024-3-26 14:4:19 Author: www.freebuf.com(查看原文) 阅读量:10 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

近日,与伊朗有联系的APT组织MuddyWater利用了一个合法的远程监控和管理(RMM)工具Atera进行了一系列网络攻击。

据Proofpoint的研究人员监测,这个也被称为SeedWorm、TEMP.Zagros、TA450和Static Kitten的APT组织,在2024年3月发动了一场针对性的钓鱼攻击,目的是在受害者的系统中部署Atera软件。

这场钓鱼攻击从3月7日开始,一直持续到3月11日这一周,专门针对在跨国公司工作的以色列员工,通过伪装成与工资相关的邮件(邮件中包含恶意链接的PDF附件)进行社会工程学欺骗。

攻击者向同一受害者发送了多封含有PDF附件的钓鱼邮件,每封邮件中的恶意链接略有变化。

这些恶意链接与多个文件共享服务有关,包括Egnyte、Onehub、Sync和TeraBox。其中一些邮件似乎还使用了一个已经被入侵的.IL发件人账户来发送。

当用户点击PDF中包含的链接时,会收到一个包含压缩MSI文件的ZIP档案。安装程序将安装名为AteraAgent的远程管理软件,TA450 APT曾在其他活动中使用该软件。

Proofpoint根据与该网络间谍组织相关的战术、技术和程序的观察,以及活动的目标和攻击中使用的恶意软件,将这次活动归因于TA450。

Proofpoint发布的报告指出,这次活动值得注意的几个原因包括,它代表了TA450战术的转变。虽然这次活动并不是TA450首次使用带恶意链接的附件作为攻击链的一部分,但这是Proofpoint研究人员首次观察到TA450试图通过PDF附件传递恶意URL,而不是直接在电子邮件中链接文件。

报告还提到,这是首次观察到TA450使用与诱饵内容匹配的发件人邮箱。例如,这次活动使用了salary[@]<compromisedorg>co[.]il的电子邮件账户,这和各种与薪酬主题相关的主题行是一致的。

参考来源:

Iran-Linked APT TA450 embeds malicious links in PDF attachments (securityaffairs.com)

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/news/395927.html
如有侵权请联系:admin#unsafe.sh