MuddyWater 黑客是一个与伊朗情报和安全部 (MOIS) 有关联的组织,他们使用受感染的公司电子邮件帐户向他们的目标发送网络钓鱼邮件。
该组织在可能于 9 月开始但直到 10 月才被发现的活动中采用了新策略,并结合使用了合法的远程管理工具。
从一个 MSP 工具到另一个
MuddyWater 过去曾使用合法的远程管理工具进行黑客活动。研究人员发现该组织在 2020 年和 2021 年开展了依赖 RemoteUtilities 和 ScreenConnect 的活动。
在 7 月的另一场活动中,黑客继续采用这种策略,但转向了 Atera,正如 Deep Instinct 的安全研究员Simon Kenin 所强调的那样。
Deep Instinct 研究人员在 10 月份发现了一个新的 MuddyWater 活动,该活动使用 了Syncro,这是一种专为托管服务提供商 (MSP) 设计的远程管理工具。
Kenin 在今天的一份报告中指出,最初的感染媒介是从黑客入侵的合法公司电子邮件帐户发送的网络钓鱼。
来源:Deep Instinct
研究人员告诉 BleepingComputer,虽然网络钓鱼邮件中缺少公司的官方签名,但受害者仍然信任该电子邮件,因为它来自属于他们认识的公司的合法地址。
此次活动的目标包括两家埃及托管公司,其中一家被入侵以发送网络钓鱼电子邮件。另一个是恶意邮件的收件人。
“这是建立信任的已知技术。接收端知道发送邮件的公司,” Kenin 在今天的一份报告中解释道。
为了降低被电子邮件安全解决方案检测到的机会,攻击者附加了一个 HTML 文件,其中包含用于下载 Syncro MSI 安装程序的链接。
“附件不是档案或可执行文件,不会引起最终用户的怀疑,因为 HTML 在网络钓鱼意识培训和模拟中大多被忽视”- Deep Instinct
该工具托管在 Microsoft 的 OneDrive 文件存储上。从埃及托管公司的受感染电子邮件帐户发送的先前消息将 Syncro 安装程序存储在 Dropbox 上。
然而,研究人员表示,MuddyWater 使用的大多数 Syncro 安装程序都托管在 OneHub 的云存储上,这是该攻击者过去在其黑客活动中使用的一项服务。
Syncro 已被其他威胁参与者使用,例如 BatLoader 和 LunaMoth。该工具有一个试用版,有效期为 21 天,带有完整的 Web 界面,并提供对安装了 Syncro 代理的计算机的完全控制。
一旦进入目标系统,攻击者就可以使用它来部署后门以建立持久性并窃取数据。
MuddyWater 活动的其他目标包括以色列的多家保险公司。该攻击者使用了相同的策略,并从属于以色列酒店业实体的被黑电子邮件帐户发送了电子邮件。
黑客以寻求保险为借口,添加了一个 HTML 附件,其中包含指向托管在 OneDrive 上的 Syncro 安装程序的链接。
来源:Deep Instinct
Kenin 观察到,虽然电子邮件是用希伯来语写的,但母语是希伯来语的人可能会因为选词不当而发现危险信号。
MuddyWater 的策略并不是特别复杂,但表明免费提供的工具可以有效地进行黑客攻击。
该演员由不同的名字(Static Kitten、Cobalt Ulster、Mercury)追踪,并且至少从 2017 年开始活跃。
它通常从事针对中东、亚洲、欧洲、北美和非洲的公共和私人组织(电信公司、地方政府、国防、石油和天然气公司)的间谍活动。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 用于发送MSP远程访问工具的被黑公司电子邮件帐户
