Но за этим стоят «партнеры» из Ирана.
ИБ-компания Deep Instinct Для просмотра ссылки Войди
Согласно отчету исследователей, злоумышленники отправляли фишинговые письма со взломанной корпоративной электронной почты ( Для просмотра ссылки Войди
Цепочка атаки MuddyWater Среди целей атаки — два египетских хостинг-провайдера. Один был скомпрометирован для рассылки фишинговых писем, а другой был получателем этих писем.
Чтобы снизить вероятность обнаружения средствами защиты электронной почты, злоумышленник прикрепил к письму HTML-файл, содержащий ссылку для загрузки MSI-установщика Syncro из Microsoft OneDrive или Dropbox. По словам экспертов, HTML-файл, в отличие от архива или исполняемого файла, не рассматривается на тренингах по фишингу, поэтому он не вызывает подозрений у пользователя.
Вредоносное письмо с HTML-вложением Инструмент удаленного администрирования Syncro имеет пробную версию на 21 день, которая обеспечивает полный контроль над целевым компьютером. Попав в систему, киберпреступники могут использовать ее для развертывания бэкдоров, чтобы установить постоянство, а также украсть данные.
Также эта кампания затронула несколько страховых компаний в Израиле. MuddyWater использовала ту же тактику и доставляла электронные письма со взломанного аккаунта электронной почты израильской гостиничной компании. Письма под предлогом поиска страховки отправлялись страховым фирмам. К письму хакеры приложили HTML-вложение со ссылкой на установщик Syncro, размещенный на OneDrive.
Фишинговое электронное письмо, отправленное страховым компаниям в Израиле Электронное письмо было написано на иврите, но из-за неудачного выбора слов письмо выглядит подозрительно для носителя языка.
Обычно MuddyWater занимается шпионскими операциями, нацеленными как на государственные, так и на частные организации (телекоммуникационные компании, местные органы власти, оборонные, нефтегазовые организации) на Ближнем Востоке, в Азии, Европе, Северной Америке и Африке.
- Источник новости
- https://www.securitylab.ru/news/535186.php