Новости Египетский хостинг-провайдер провел фишинговую атаку на конкурента

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022

Но за этим стоят «партнеры» из Ирана.​


iqzbs2ql5twpy88qrwgyawqnlalooba8.jpg


ИБ-компания Deep Instinct Для просмотра ссылки Войди или Зарегистрируйся , что иранская группировка MuddyWater проводит фишинговую кампанию для установки инструмента удаленного администрирования Syncro.

Согласно отчету исследователей, злоумышленники отправляли фишинговые письма со взломанной корпоративной электронной почты ( Для просмотра ссылки Войди или Зарегистрируйся ). В письмах отсутствовала официальная подпись компании, но жертвы все равно доверяли письмам, поскольку они были отправлены с адреса известной им компании.


content-img(912).png

Цепочка атаки MuddyWater Среди целей атаки — два египетских хостинг-провайдера. Один был скомпрометирован для рассылки фишинговых писем, а другой был получателем этих писем.

Чтобы снизить вероятность обнаружения средствами защиты электронной почты, злоумышленник прикрепил к письму HTML-файл, содержащий ссылку для загрузки MSI-установщика Syncro из Microsoft OneDrive или Dropbox. По словам экспертов, HTML-файл, в отличие от архива или исполняемого файла, не рассматривается на тренингах по фишингу, поэтому он не вызывает подозрений у пользователя.


content-img(913).png

Вредоносное письмо с HTML-вложением Инструмент удаленного администрирования Syncro имеет пробную версию на 21 день, которая обеспечивает полный контроль над целевым компьютером. Попав в систему, киберпреступники могут использовать ее для развертывания бэкдоров, чтобы установить постоянство, а также украсть данные.

Также эта кампания затронула несколько страховых компаний в Израиле. MuddyWater использовала ту же тактику и доставляла электронные письма со взломанного аккаунта электронной почты израильской гостиничной компании. Письма под предлогом поиска страховки отправлялись страховым фирмам. К письму хакеры приложили HTML-вложение со ссылкой на установщик Syncro, размещенный на OneDrive.


content-img(914).png

Фишинговое электронное письмо, отправленное страховым компаниям в Израиле Электронное письмо было написано на иврите, но из-за неудачного выбора слов письмо выглядит подозрительно для носителя языка.

Обычно MuddyWater занимается шпионскими операциями, нацеленными как на государственные, так и на частные организации (телекоммуникационные компании, местные органы власти, оборонные, нефтегазовые организации) на Ближнем Востоке, в Азии, Европе, Северной Америке и Африке.
 
Источник новости
https://www.securitylab.ru/news/535186.php

Похожие темы