近日,与伊朗有关的 APT 组织 MuddyWater 使用了名为 Atera 的合法远程监控和管理软件(RMM) 进行了一系列钓鱼攻击
据Proofpoint 研究人员监测,这个被称为 MuddyWater 的APT组织(又名 SeedWorm、 TEMP.Zagros、TA450 和 Static Kitten)在2024 年 3 月发起的一次新的网络钓鱼活动,试图通过投放名为 Atera 的合法远程监控和管理软件(RMM) 进行钓鱼攻击。
该活动针对主要大型跨国组织的以色列员工,利用与工资相关内容进行社工。并且于 3 月 7 日开始,一直持续到 2024 年 3 月 11 日这一周。TA450 组织发送鱼叉式网络钓鱼邮件,其中包含包含恶意链接的 PDF 附件。
黑客向同一收件人发送了多封带有 PDF 附件的网络钓鱼电子邮件,其中嵌入的链接略有不同。
该活动中使用的链接与多个文件共享网站相关,包括 Egnyte、Onehub、Sync 和 TeraBox。有些邮件还使用受害者的 .IL 发件人帐户发送。
单击 PDF 中包含的链接后,将向收件人提供包含压缩 MSI 的 ZIP 存档。安装程序将安装名为 AteraAgent 的远程管理软件,TA450 APT 在其他活动中使用也过该软件。
安全研究人员 Proofpoint 根据对与网络间谍组织、活动目标以及攻击中使用的恶意软件相关的策略、技术和程序的观察,将此次活动归因于 TA450。
安全研究人员 Proofpoint 表示,这项活动值得注意有几个原因,其中之一是它标志着 TA450 策略的转变。虽然此活动并不是第一次观察到 TA450 使用带有恶意链接的附件作为攻击链的一部分的实例,第一次观察到 TA450 尝试在 PDF 附件中传递恶意 URL,而不是直接链接在电子邮件中归档。
此外,此次活动是 Proofpoint 首次观察到 TA450 使用与诱饵内容匹配的发件人电子邮件帐户。例如,该活动使用了 salal[@]<compromishedorg>co[.]il 的电子邮件帐户,该帐户与各种以薪酬为主题的主题行一致。
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
![APT 组织 MuddyWater通过Atera 向以色列员工发起钓鱼攻击]( "APT 组织 MuddyWater通过Atera 向以色列员工发起钓鱼攻击")
原文始发于微信公众号(掌控安全EDU):APT 组织 MuddyWater通过Atera 向以色列员工发起钓鱼攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2619612.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论