Advanced Monitoring Agent от N-able стал новым оружием в руках хакеров.
Известная иранская хакерская группировка MuddyWater инициировала новую кампанию кибератак с использованием методов Для просмотра ссылки Войдиили Зарегистрируйся против двух израильских организаций. Цель данной вредоносной кампании — развёртывание законного инструмента удалённого управления Для просмотра ссылки Войди или Зарегистрируйся от N-able .
Для просмотра ссылки Войдиили Зарегистрируйся , предоставленной экспертами компании Deep Instinct , атаки демонстрируют обновлённые тактики и техники ( TTPs ), особенно в сравнении с предыдущей активностью MuddyWater.
В прошлом хакеры использовали похожие методы для распространения других инструментов удалённого доступа, таких как ScreenConnect и RemoteUtilities. Однако новшество последних атак заключается в использовании программного обеспечения производства N-able для удалённого мониторинга, что подчёркивает эффективность практически неизменного образа действия группы.
Данные, полученные исследователями Deep Instinct также Для просмотра ссылки Войдиили Зарегистрируйся компанией Group-IB в их мини-отчёте.
Группировка MuddyWater, функционирующая с 2017 года, представляет собой элемент, предположительно подчинённый Министерству разведки и безопасности Ирана. Хакеры MuddyWater также связаны с другими группами вроде OilRig и Scarred Manticore, специализирующимися на кибершпионаже.
В предыдущих кампаниях атаки осуществлялись посредством фишинговых писем с прямыми ссылками или архивными вложениями с HTML, PDF и RTF-содержимым, которые приводили к скачиванию инструментов удалённого управления. В настоящей же кампании замечено использование хостингового сервиса Storyblok для запуска многоступенчатого заражения.
Как отметил Саймон Кенин из Deep Instinct, в арсенале атакующих появились скрытые файлы и LNK -ярлыки, упакованные в архивы и запускающие процесс заражения, а также исполняемые файлы, отображающие документ-приманку на переднем плане интерфейса операционной системы, в то время как в фоне выполняются вредоносные действия с помощью Advanced Monitoring Agent.
Схема атаки
В дополнение к усовершенствованию тактик, Deep Instinct выявила, что группа MuddyWater использует новую C2 -инфраструктуру MuddyC2Go, являющуюся преемником MuddyC3 и PhonyC2. Такое обновление функциональности является свидетельством усиления кибервозможностей иранских национальных хакеров.
Известная иранская хакерская группировка MuddyWater инициировала новую кампанию кибератак с использованием методов Для просмотра ссылки Войди
Для просмотра ссылки Войди
В прошлом хакеры использовали похожие методы для распространения других инструментов удалённого доступа, таких как ScreenConnect и RemoteUtilities. Однако новшество последних атак заключается в использовании программного обеспечения производства N-able для удалённого мониторинга, что подчёркивает эффективность практически неизменного образа действия группы.
Данные, полученные исследователями Deep Instinct также Для просмотра ссылки Войди
Группировка MuddyWater, функционирующая с 2017 года, представляет собой элемент, предположительно подчинённый Министерству разведки и безопасности Ирана. Хакеры MuddyWater также связаны с другими группами вроде OilRig и Scarred Manticore, специализирующимися на кибершпионаже.
В предыдущих кампаниях атаки осуществлялись посредством фишинговых писем с прямыми ссылками или архивными вложениями с HTML, PDF и RTF-содержимым, которые приводили к скачиванию инструментов удалённого управления. В настоящей же кампании замечено использование хостингового сервиса Storyblok для запуска многоступенчатого заражения.
Как отметил Саймон Кенин из Deep Instinct, в арсенале атакующих появились скрытые файлы и LNK -ярлыки, упакованные в архивы и запускающие процесс заражения, а также исполняемые файлы, отображающие документ-приманку на переднем плане интерфейса операционной системы, в то время как в фоне выполняются вредоносные действия с помощью Advanced Monitoring Agent.
Схема атаки
В дополнение к усовершенствованию тактик, Deep Instinct выявила, что группа MuddyWater использует новую C2 -инфраструктуру MuddyC2Go, являющуюся преемником MuddyC3 и PhonyC2. Такое обновление функциональности является свидетельством усиления кибервозможностей иранских национальных хакеров.
- Источник новости
- www.securitylab.ru