威胁情报信息分享|伊朗关联的MuddyWater在网络钓鱼攻击中部署Atera进行监视

伊朗关联威胁行为者被追踪为MuddyWater（又名Mango Sandstorm或TA450），最近被发现在2024年3月发起了一场新的网络钓鱼活动，旨在传递一种合法的远程监控和管理（RMM）解决方案，称为Atera。

这一行动从3月7日开始，持续至3月11日的一周，针对的是跨越全球制造业、技术和信息安全领域的以色列实体，据Proofpoint所述。

“TA450发送带有PDF附件的电子邮件，这些附件包含恶意链接，”这家企业安全公司表示。“虽然这种方法对TA450来说并不陌生，但威胁行为者最近更多地依赖于直接在电子邮件正文中包含恶意链接，而不是添加这一额外步骤。”

MuddyWater自2023年10月底以来一直被认为是针对以色列组织的攻击者，之前Deep Instinct的发现揭露了这一威胁行为者使用来自N-able的另一种远程管理工具。

这不是第一次敌对者——被评估与伊朗情报与安全部（MOIS）有关联——因依赖合法的远程桌面软件来实现其战略目标而受到关注。它还被观察到使用了ScreenConnect、RemoteUtilities、Syncro和SimpleHelp。

最新的攻击链涉及MuddyWater嵌入指向托管在如Egnyte、Onehub、Sync和TeraBox等文件共享网站的文件链接。据说，一些以薪酬为主题的钓鱼信息是从一个可能被泄露的与“co.il”（以色列）域相关的电子邮件账户发送的。

在下一阶段，点击PDF诱饵文档中的链接会导致检索一个包含MSI安装程序文件的ZIP存档，最终在受损系统上安装Atera代理。MuddyWater使用Atera代理可以追溯到2022年7月。

随着伊朗的黑客组织Lord Nemesis通过入侵一家名为Rashim Software的软件服务提供商，针对以色列学术界，MuddyWater的策略发生了变化，这是一次软件供应链攻击的案例。

“Lord Nemesis据称使用从Rashim泄露中获得的凭证，渗透该公司的几个客户，包括许多学术机构，”Op Innovate说。 “该组织声称在入侵期间获得了敏感信息，他们可能使用这些信息进行进一步攻击或对受影响的组织施加压力。”

据信，Lord Nemesis利用它获得对Rashim基础设施的未经授权的访问，通过劫持管理员账户并利用公司不充分的多因素认证（MFA）保护来收集感兴趣的个人数据。

它还在2024年3月4日向其200多个客户发送电子邮件，详细介绍了事件的程度，这是初次泄露发生四个月后的事情。未披露威胁行为者如何获得对Rashim系统的访问权。

“这一事件突显了由第三方供应商和合作伙伴（供应链攻击）带来的重大风险，”安全研究员Roy Golombick说。“这次攻击凸显了国家行动者针对资源有限的小公司的威胁日益增长，作为进一步其地缘政治议程的手段。”

“通过成功地破坏Rashim的管理员账户，Lord Nemesis组织有效地绕过了许多组织所采取的安全措施，为自己授予了更高的特权和对敏感系统和数据的不受限制的访问。”

原文始发于微信公众号（XDsecurity）：威胁情报信息分享|伊朗关联的MuddyWater在网络钓鱼攻击中部署Atera进行监视