伊朗浑水集团利用虚假备忘录鱼叉式网络钓鱼攻击以色列人

MuddyWater(又名Mango Sandstorm和Static Kitten)是一个网络间谍组织,据信自2017年以来一直活跃。MuddyWater 使用以色列公务员委员会的虚假备忘录作为诱饵,诱骗受害者下载RAT。

据网络安全公司Deep Instinct报道,伊朗国家支持的威胁组织MuddyWater正在针对以色列实体开展鱼叉式网络钓鱼活动。

据Deep Instinct的情报研究员Simon Kenin称,MuddyWater使用以色列公务员制度委员会的一份虚假备忘录作为诱饵,诱骗受害者下载名为高级监控代理(AMA)的远程管理工具。

这种恶意软件允许黑客远程访问受害者的计算机以窃取数据、破坏其系统并执行间谍活动。威胁行为者瞄准了两个以色列实体来部署AMA,这是N-able的合法远程管理工具。

研究人员在他们的博客文章中指出,与该组织之前的活动相比,本次活动的TTP(技术、战术和程序)有所更新。例如,该组织过去曾使用过类似的攻击链,并专注于分发ScreenConnect、Syncro、RemoteUtilities、SimplyHelp等远程访问工具。

然而,在这次鱼叉式网络钓鱼活动中,MuddyWater使用了一种名为“eN-Able”的新技术,这是一种新型网络钓鱼电子邮件,旨在逃避标准电子邮件安全过滤器,因为这些电子邮件结合了HTML和JavaScript并且看起来合法。这些电子邮件包含恶意代码,可利用操作系统和电子邮件客户端中的漏洞。

另一种新策略称为“喷洒和祈祷”。这种技术类似于网络钓鱼攻击,其中大量网络钓鱼电子邮件被发送到大量目标。然而,通过喷雾和祈祷技术,即使一小部分目标落入诱惑,成功的机会也会大大增加。

此外,该组织还使用名为Storyblok的新文件共享服务来启动多阶段感染向量,其中包含隐藏文件、启动感染的LNK文件以及启动恶意软件的可执行文件。受害者受到威胁后,攻击者使用合法的远程管理工具连接到受感染的主机并开始侦察。

Storyblok说,他们已意识到该问题,并已采取行动删除恶意链接,以防止威胁行为者滥用。

“我们会删除我们发现或收到的报告的任何危险文件。这些文件已被删除,相关用户和IP地址也被禁止。”---多米尼克·安格勒(Dominik Angerer)–Storyblok首席执行官

除了这些新的TTP之外,Deep Instinct还注意到该组织正在利用名为Muddy2Go的新C2框架。使用新的TTP表明MuddyWater正在努力改进其运作方式。这些发现已得到另一家网络安全公司Group-IB的单独证实。

MuddyWater(又名Mango Sandstorm和Static Kitten)是一个网络间谍组织,据信自2017年以来一直活跃。与Agrius、OilRig和Scarred Manticore等其他组织一样,它代表伊朗情报和安全部(MOIS)的一个部门。

值得注意的是,此次活动是MuddyWater针对以色列实体进行的一系列针对性网络攻击中的最新一起。事实上,自从以色列和巴勒斯坦之间的紧张局势升级以来,许多国家支持的行为体已开始积极针对以色列。

最近报道称,哈马斯黑客开发了一种名为BiBi-Linux的危险新恶意软件,专门针对以色列系统。该恶意软件可以覆盖关键系统文件,从而无法启动受感染的系统。该恶意软件是通过鱼叉式网络钓鱼电子邮件分发的,这些电子邮件旨在来自合法的以色列组织。

2023年10月发现了另一起间谍软件活动,其中亲巴勒斯坦的黑客使用火箭警报应用程序向毫无戒心的以色列公民发送恶意软件。

发表评论

评论已关闭。

相关文章