Новости Иранская группировка MuddyWater использует обновлённые методы для атак на Израиль

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Advanced Monitoring Agent от N-able стал новым оружием в руках хакеров.


1gn8chgfytycmtmrcdgobh9ls3v12chb.jpg


Известная иранская хакерская группировка MuddyWater инициировала новую кампанию кибератак с использованием методов Для просмотра ссылки Войди или Зарегистрируйся против двух израильских организаций. Цель данной вредоносной кампании — развёртывание законного инструмента удалённого управления Для просмотра ссылки Войди или Зарегистрируйся от N-able .

Для просмотра ссылки Войди или Зарегистрируйся , предоставленной экспертами компании Deep Instinct , атаки демонстрируют обновлённые тактики и техники ( TTPs ), особенно в сравнении с предыдущей активностью MuddyWater.

В прошлом хакеры использовали похожие методы для распространения других инструментов удалённого доступа, таких как ScreenConnect и RemoteUtilities. Однако новшество последних атак заключается в использовании программного обеспечения производства N-able для удалённого мониторинга, что подчёркивает эффективность практически неизменного образа действия группы.

Данные, полученные исследователями Deep Instinct также Для просмотра ссылки Войди или Зарегистрируйся компанией Group-IB в их мини-отчёте.

Группировка MuddyWater, функционирующая с 2017 года, представляет собой элемент, предположительно подчинённый Министерству разведки и безопасности Ирана. Хакеры MuddyWater также связаны с другими группами вроде OilRig и Scarred Manticore, специализирующимися на кибершпионаже.

В предыдущих кампаниях атаки осуществлялись посредством фишинговых писем с прямыми ссылками или архивными вложениями с HTML, PDF и RTF-содержимым, которые приводили к скачиванию инструментов удалённого управления. В настоящей же кампании замечено использование хостингового сервиса Storyblok для запуска многоступенчатого заражения.

Как отметил Саймон Кенин из Deep Instinct, в арсенале атакующих появились скрытые файлы и LNK -ярлыки, упакованные в архивы и запускающие процесс заражения, а также исполняемые файлы, отображающие документ-приманку на переднем плане интерфейса операционной системы, в то время как в фоне выполняются вредоносные действия с помощью Advanced Monitoring Agent.


93gq20pjv11p8nvh5bco0pqebl8qjqns.png


Схема атаки

В дополнение к усовершенствованию тактик, Deep Instinct выявила, что группа MuddyWater использует новую C2 -инфраструктуру MuddyC2Go, являющуюся преемником MuddyC3 и PhonyC2. Такое обновление функциональности является свидетельством усиления кибервозможностей иранских национальных хакеров.
 
Источник новости
www.securitylab.ru

Похожие темы