Новости MuddyWater свирепствует: легальные RMM-программы на службе у иранских хакеров

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Виртуозная маскировка не оставляет компаниям и шанса на обнаружение атак.


6y1ayd88xgzvacq12retj13akvpxkvmk.jpg


Исследователи безопасности из 360 Advanced Threat Research Institute Для просмотра ссылки Войди или Зарегистрируйся что иранская хакерская группировка MuddyWater активно использует легальные программы для удалённого мониторинга и управления ( RMM ) в своих атаках. Эта группировка действует с 2017 года, в основном атакуя организации на Ближнем Востоке, а также в Европе и Северной Америке. В фокусе их атак находятся государственные учреждения, военные структуры, телекоммуникационные и нефтяные компании.

Специалисты выявили, что с 2020 года MuddyWater использует различные RMM программы для проникновения в целевые системы. Среди таких программ значатся Remote Utilities, ScreenConnect, SimpleHelp, Syncro, N-Able и Atera Agent. Хакеры используют эти программы, чтобы получить полный контроль над компьютерами жертв, выполняя команды, загружая и скачивая файлы.

Одной из ключевых тактик является фишинг , при котором злоумышленники рассылают письма с вложениями, замаскированными под легитимные документы, часто на арабском языке. Например, для распространения программы Atera Agent они используют RAR-архивы, защищённые паролем. После ввода пароля и установки вредоносного ПО, Atera закрепляется в системе жертвы. Тем самым, злоумышленники получают полный контроль над устройством, оставаясь при этом необнаруженными.

Другой часто используемой MuddyWater программой является ScreenConnect. Хакеры маскируют её под архив с арабским документом, после чего программа запускается и позволяет злоумышленникам удалённо управлять заражённым компьютером. Аналогичный сценарий применяется с другими программами, такими как Remote Utilities и N-Able, где заражение происходит через документы в формате PDF и фишинговые ссылки.

Особое внимание специалисты уделяют использованию программного обеспечения Syncro. Эта программа отличается тем, что может распространяться через HTML-файлы, которые менее заметны для антивирусного ПО. MuddyWater также использует легальные файловые хранилища, такие как Dropbox, чтобы обойти системы безопасности и избежать обнаружения.

Исследования показывают, что атаки группировки продолжаются и в 2024 году. MuddyWater расширяет свои возможности, добавляя новые инструменты, что усложняет обнаружение и противодействие. Специалисты подчёркивают, что данный метод атак с использованием легального ПО представляет серьёзную угрозу для организаций и пользователей, особенно в тех случаях, когда фишинг удаётся.

Эксперты 360 Advanced Threat Research Institute призывают организации к повышению осведомлённости о подобных угрозах и призывают воздерживаться от открытия неизвестных файлов и ссылок в электронных письмах. Также важно регулярно обновлять системы безопасности и обучать сотрудников основам кибергигиены, чтобы избежать утечек данных и других серьёзных последствий.
 
Источник новости
www.securitylab.ru

Похожие темы