伊朗相关的高级持续性威胁组织TA450在PDF附件中嵌入恶意链接

Proofpoint的研究人员观察到，与伊朗有关的高级持续性威胁组织MuddyWater（又称SeedWorm、TEMP.Zagros、TA450和Static Kitten）在2024年3月策划了一场新的网络钓鱼活动，试图向目标系统投放名为Atera的合法远程监控和管理（RMM）解决方案。

这次活动针对以色列大型跨国组织的员工，使用与薪资相关的社会工程诱饵。网络钓鱼活动始于3月7日，并持续至2024年3月11日那周。TA450组发送了带有恶意链接的PDF附件的精准钓鱼邮件。

威胁行为者向同一收件人发送了多封带有略有不同嵌入链接的PDF附件的网络钓鱼邮件。该活动中使用的链接涉及几个文件共享站点，包括Egnyte、Onehub、Sync和TeraBox。部分消息还可能是使用被攻破的.IL发件人账户发送的。

点击PDF中包含的链接后，会向收件人提供一个包含压缩MSI文件的ZIP归档文件。安装程序将安装名为AteraAgent的远程管理软件，该软件曾被TA450 APT在其他活动中使用。Proofpoint根据观察到的战术、技术和与网络间谍组织相关的程序，以及攻击中使用的恶意软件，将这次活动归因于TA450。

这次活动之所以引人注意，有几个原因，其中包括标志着TA450战术的转变。虽然这次活动并不是TA450第一次使用带有恶意链接的附件作为威胁行为者攻击链的一部分，但这是Proofpoint研究人员首次观察到TA450尝试在PDF附件中传送恶意URL，而不是直接将文件链接在电子邮件中。

 Proofpoint发布的报告中写道。“此外，这次活动是Proofpoint首次观察到TA450使用与诱饵内容相匹配的发件人电子邮件账户。例如，这次活动使用了一个工资主题的邮件账户[email protected]，这与各种与薪资相关的主题线一致。” 该报告包括了此次活动的威胁指标（IOC）。第一个MuddyWater活动是在2017年底观察到的，当时该高级持续性威胁组织瞄准了中东地区的实体。

专家们称该活动为“MuddyWater”，因为在2017年2月至10月期间针对沙特阿拉伯、伊拉克、以色列、阿拉伯联合酋长国、格鲁吉亚、印度、巴基斯坦、土耳其和美国的一波攻击中存在混淆。多年来，该组织通过添加新的攻击技术来不断发展壮大。多年来，该高级持续性威胁组织还瞄准了欧洲和北美国家。该组织的受害者主要位于电信、政府（IT服务）和石油领域。2022年1月，美国网络司令部（USCYBERCOM）正式将MuddyWater高级持续性威胁组织与伊朗情报和安全部门（MOIS）联系起来。

原文始发于微信公众号（黑猫安全）：伊朗相关的高级持续性威胁组织TA450在PDF附件中嵌入恶意链接