据悉,伊朗国家支持的APT攻击组织“MuddyWater”(翻译为“泥水”)已与一场新的针对两个以色列实体的鱼叉式诱骗活动关联起来,其最终目的是部署一款名为高级监控代理(Advanced Monitoring Agent)的合法远程管理工具,由N-able公司提供。
披露攻击细节的网络安全公司深度本能(Deep Instinct)表示,该活动“展示了与之前报告的MuddyWater活动相比有所更新的战术、技术和程序(TTPs)”。在过去,MuddyWater利用类似的攻击链来分发其它远程访问工具,如ScreenConnect、RemoteUtilities、Syncro和SimpleHelp。
尽管最新的发展是MuddyWater首次被观察到使用N-able的远程监控软件,这也强调了一个事实:几乎没有变化的作案方式继续为这一威胁行动者带来一定程度的成功。
这些发现也已由网络安全公司Group-IB在X平台(前身为Twitter)上的一篇帖子中分别确认。
这个受国家支持的组织是一个被认为隶属于伊朗情报与安全部(MOIS)的网络间谍团伙,与其他MOIS相关的集群如OilRig、Lyceum、Agrius和Scarred Manticore并列。自2017年起至少活跃至今。
之前的攻击序列包括发送带有直接链接的鱼叉式诱骗邮件,以及含有指向各种文件共享平台上托管的存档链接的HTML、PDF和RTF附件,最终会下发前述的一种远程管理工具。
最新的战术和工具在某些方面代表了该组织的延续,而在其它方面则是一种进化,这个组织被多样地称为“Mango Sandstorm”(芒果沙暴)和“Static Kitten”(静态小猫)。
这一次不同的是使用了一个名为Storyblok的新型文件共享服务来启动一个多阶段的感染向量。
“它包含隐藏文件,一个启动感染的LNK文件,以及一个旨在在执行高级监控代理时取消隐藏诱饵文档的可执行文件,” 安全研究员西蒙·肯宁(Simon Kenin)在周三的分析中说。
“受害者被感染后,泥水操作者将使用合法的远程管理工具连接到受感染的主机,并开始对目标进行侦察。”
展示给受害者的诱饵文档是一份来自以色列公务员委员会的官方备忘录,可以从其官方网站公开下载。
深度本能表示,作为伊朗迅速提升恶意网络能力的进一步迹象,它还注意到泥水行动者利用了一个名为MuddyC2Go的新型命令与控制(C2)框架,这是MuddyC3和PhonyC2的后继产品。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...