与伊朗有关联的浑水公司部署Atera进行网络钓鱼攻击监视插图
与伊朗有关联的浑水公司部署Atera进行网络钓鱼攻击监视插图1

与伊朗有关联的威胁行为者被追踪为 浑水(又名芒果沙尘暴或TA450)与2024年3月的一场新的网络钓鱼活动有关,该活动旨在提供一种名为Atera的合法远程监控和管理(RMM)解决方案。

Proofpoint表示,这项活动从3月7日至3月11日这一周进行,目标是涵盖全球制造业、技术和信息安全部门的以色列实体。

该企业安全公司表示:“TA450发送的电子邮件带有PDF附件,其中包含恶意链接。”。“虽然这种方法对TA450来说并不陌生,但威胁行为者最近依赖于将恶意链接直接包含在电子邮件消息正文中,而不是添加这一额外步骤。”

MuddyWater被归因于自2023年10月下旬以来针对以色列组织的袭击,Deep Instinct的先前调查结果揭示了威胁行为者使用N-able的另一个远程管理工具的行为。

这不是该对手第一次因依赖合法的远程桌面软件来实现其战略目标而受到关注。该对手被评估隶属于伊朗情报与安全部(MOIS)。类似的网络钓鱼活动导致过去部署了ScreenConnect、RemoteUtilities、Syncro和SimpleHelp。

最新的攻击链涉及MuddyWater嵌入到文件共享网站(如Egnyte、Onehub、Sync和TeraBox)上托管的文件的链接。据称,一些以付费为主题的网络钓鱼消息是从一个可能被泄露的与“co.il”(以色列)域相关的电子邮件帐户发送的。

在下一阶段,单击PDF lure文档中的链接将检索到包含MSI安装程序文件的ZIP存档,该文件最终将Atera Agent安装在受损的系统上。MuddyWater对Atera Agent的使用可以追溯到2022年7月。

MuddyWater策略发生转变之际,一个名为“复仇女神”(Lord Nemesis)的伊朗黑客活动组织以以色列学术界为目标,在软件供应链攻击中入侵了一家名为Rashim software的软件服务提供商。

Op Innovate表示:“据称,复仇女神神利用从拉希姆事件中获得的证书渗透到该公司的几个客户中,包括许多学术机构。”。“该组织声称在入侵期间获得了敏感信息,他们可能会利用这些信息进行进一步攻击或向受影响的组织施加压力。”

据信,复仇女神勋爵利用其对拉希姆基础设施的未经授权访问,劫持了管理账户,并利用该公司不充分的多因素身份验证(MFA)保护来获取感兴趣的个人数据。

该公司还在2024年3月4日,即首次违规事件发生四个月后,向200多名客户发送了电子邮件,详细说明了事件的严重程度。威胁行为者访问拉希姆系统的确切方法没有披露。

安全研究员Roy Golombick表示:“这起事件凸显了第三方供应商和合作伙伴(供应链攻击)带来的重大风险。”。“这次袭击凸显了民族国家行为者针对规模较小、资源有限的公司的日益增长的威胁,以此作为推进其地缘政治议程的手段。”

“通过成功地泄露拉希姆的管理账户,复仇女神神组织有效地规避了许多组织制定的安全措施,授予自己更高的特权,并不受限制地访问敏感系统和数据。”