APT 组织 MuddyWater通过Atera 向以色列员工发起钓鱼攻击

扫码领资料

获网安教程

近日，与伊朗有关的 APT 组织 MuddyWater 使用了名为 Atera 的合法远程监控和管理软件(RMM) 进行了一系列钓鱼攻击

据Proofpoint 研究人员监测，这个被称为 MuddyWater  的APT组织（又名 SeedWorm、  TEMP.Zagros、TA450 和 Static Kitten）在2024 年 3 月发起的一次新的网络钓鱼活动，试图通过投放名为 Atera 的合法远程监控和管理软件(RMM) 进行钓鱼攻击。

该活动针对主要大型跨国组织的以色列员工，利用与工资相关内容进行社工。并且于 3 月 7 日开始，一直持续到 2024 年 3 月 11 日这一周。TA450 组织发送鱼叉式网络钓鱼邮件，其中包含包含恶意链接的 PDF 附件。

黑客向同一收件人发送了多封带有 PDF 附件的网络钓鱼电子邮件，其中嵌入的链接略有不同。

该活动中使用的链接与多个文件共享网站相关，包括 Egnyte、Onehub、Sync 和 TeraBox。有些邮件还使用受害者的 .IL 发件人帐户发送。

单击 PDF 中包含的链接后，将向收件人提供包含压缩 MSI 的 ZIP 存档。安装程序将安装名为 AteraAgent 的远程管理软件，TA450 APT 在其他活动中使用也过该软件。

安全研究人员 Proofpoint 根据对与网络间谍组织、活动目标以及攻击中使用的恶意软件相关的策略、技术和程序的观察，将此次活动归因于 TA450。

安全研究人员 Proofpoint 表示，这项活动值得注意有几个原因，其中之一是它标志着 TA450 策略的转变。虽然此活动并不是第一次观察到 TA450 使用带有恶意链接的附件作为攻击链的一部分的实例，第一次观察到 TA450 尝试在 PDF 附件中传递恶意 URL，而不是直接链接在电子邮件中归档。

此外，此次活动是 Proofpoint 首次观察到 TA450 使用与诱饵内容匹配的发件人电子邮件帐户。例如，该活动使用了 salal[@]<compromishedorg>co[.]il 的电子邮件帐户，该帐户与各种以薪酬为主题的主题行一致。

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

原文始发于微信公众号（掌控安全EDU）：APT 组织 MuddyWater通过Atera 向以色列员工发起钓鱼攻击