خانه » استقرار Atera توسط گروه سایبری TA450 (MuddyWater) در حملات فیشینگ

استقرار Atera توسط گروه سایبری TA450 (MuddyWater) در حملات فیشینگ

توسط Vulnerbyte
119 بازدید
MuddyWater - TA450

محققان Proofpoint اخیراً فعالیت جدیدی توسط گروه سایبری TA450 که با نام‌های MuddyWater، Mango Sandstorm و Static Kitten نیز شناخته می‌شود را مشاهده کرده‌اند که در آن، این گروه از یک فریب مهندسی اجتماعی با مضمون پرداخت و حقوق برای نفوذ به کارمندان اسرائیلی در سازمان‌های چندملیتی بزرگ استفاده کرده است. TA450 به دلیل هدف قرار دادن نهادهای اسرائیلی به ویژه از اکتبر 2023 با شروع جنگ اسرائیل و حماس شناخته شده است و این روند با تمرکز بر بخش های تولید، فناوری و شرکت های امنیت اطلاعات ادامه دارد.

TA450 در این دسته حملات فیشینگ که از 7 مارس 2024 آغاز شد و تا 11 مارس ادامه یافت، ایمیل‌هایی با پیوست‌های PDF ارسال کرد که حاوی لینک‌های مخرب بودند. در حالی که این متد برای TA450 بیگانه نیست، عامل تهدید به افزودن پیوندهای مخرب بصورت مستقیم در بدنه پیام ایمیل اقدام کرده است.

محققان Proofpoint مشاهده کردند که همان اهداف، چندین ایمیل فیشینگ را با پیوست‌های PDF دریافت می‌کنند که دارای پیوندهای تعبیه ‌شده متفاوتی هستند. این زنجیره حمله شامل MuddyWater است که دارای لینک‌هایی به فایل‌های میزبانی شده در سایت های اشتراک گذاری فایل مانند Egnyte، Onehub، Sync و TeraBox می‌باشد. گفته می‌شود برخی از پیام های فیشینگ با موضوع پرداخت از یک حساب ایمیل احتمالا هک شده مرتبط با دامنه “co.il ” (اسرائیل) ارسال شده‌اند.

همانطور که در شکل‌های 1 و 2 مشاهده می‌شود، اگر هدفی پیوست را باز کند و روی پیوند ارائه شده کلیک نماید، منجر به دانلود یک آرشیو ZIP حاوی یک MSI فشرده ‌شده می‌شود که در نهایت نرم‌افزار مدیریت از راه دور Atera Agent (عامل Atera) را نصب می‌کند که توسط TA450 مورد سوء استفاده قرار می‌گیرد.

MuddyWater - TA450
شکل ۱- پیوست PDF باز شده با پیوند مخرب (ترجمه: "سلام، از این پس فیش حقوقی خود را از طریق نرم افزار زیر دریافت کنید").
TA450
شکل ۲- آرشیو ZIP از طریق Onehub که منجر به دانلود نرم افزار مدیریت از راه دور می‌شود.

محققان Proofpoint این کمپین را بر اساس تاکتیک‌ها، تکنیک‌ها و رویه‌های شناخته شده TA450، هدف‌گیری کمپین و تجزیه و تحلیل بدافزار به TA450 نسبت می‌دهند. فرماندهی سایبری ایالات متحده در ژانویه 2022، این گروه را به وزارت اطلاعات و امنیت ایران نسبت داد.

این فعالیت به چند دلیل قابل توجه است، از جمله اینکه چرخشی را در تاکتیک های TA450 نشان می‌دهد. در حالی که این دسته حملات، اولین نمونه مشاهده شده از TA450 نیستند که از پیوست‌هایی با لینک‌های مخرب به‌ عنوان بخشی از زنجیره حمله عامل تهدید استفاده می‌کنند، اما این اولین باری است که محققان Proofpoint مشاهده می‌کنند که TA450 در تلاش است تا به جای ارائه مستقیم لینک فایل در یک ایمیل، از یک URL مخرب در پیوست PDF استفاده می‌کند.

این فعالیت همچنان روند TA450 را در استفاده از متون فریبنده به زبان عبری و حساب‌های هک شده IL برای نفوذ به افراد اسرائیلی متعلق به شرکت‌های بزرگ چند ملیتی ادامه می‌دهد و خطری را برای سازمان‌هایی با این نوع ایجاد می‌کند.

تغییر در تاکتیک‌های MuddyWater در حالی رخ می‌دهد که یک گروه هک ایرانی به نام Lord Nemesis، بخش دانشگاهی اسرائیل را با نفوذ به یک ارائه ‌دهنده خدمات نرم‌افزاری به نام Rashim Software در مورد حمله زنجیره تامین نرم‌افزار هدف قرار داده است.

Lord Nemesis ظاهراً از گواهی های اعتبار به دست آمده از نفوذ Rashim برای نفوذ به چندین نهاد از جمله موسسات دانشگاهی متعدد استفاده کرده است. این گروه ادعا می‌کند که اطلاعات حساسی را در خلال این رخنه به دست آورده است که ممکن است از آن برای حملات بیشتر یا اعمال فشار بر سازمان‌های آسیب‌ دیده استفاده کند.

گمان می‌رود که Lord Nemesis از دسترسی غیرمجاز به زیرساخت‌های Rashim با ربودن حساب مدیریت و استفاده از محافظت‌های ناکافی احراز هویت چند عاملی (MFA) شرکت به منظور جمع‌آوری داده‌های شخصی مورد علاقه استفاده کرده باشد.

Lord Nemesis همچنین در چهارم مارس 2024، چهار ماه پس از نفوذ اولیه، برای بیش از 200 مشتری خود پیام‌هایی توسط ایمیل ارسال کرد که در آن گستردگی حادثه توضیح داده شده است اما روش دقیقی که عامل تهدید از طریق آن به سیستم های Rashim دست یافته هنوز فاش نشده است.

این رویداد امنیتی، خطرات قابل توجهی را که توسط فروشندگان و شرکای شخص ثالث ایجاد می‌شود (حمله زنجیره تامین) برجسته می‌کند. این حمله تهدید فزاینده عوامل تهدید دولتی را نشان می‌دهد که شرکت‌های کوچک‌تر با منابع محدود را به عنوان ابزاری برای پیشبرد برنامه‌های ژئوپلیتیک خود هدف قرار می‌دهند.

گروه Lord Nemesis با نفوذ موفقیت آمیز به حساب مدیریت Rashim، به طور موثر اقدامات امنیتی اعمال شده توسط سازمان های متعدد را دور زده و سطح دسترسی بالا و نامحدود به سیستم ها و داده های حساس را به خود اعطا کرده است.

 

شاخص‌های نفوذ TA450

شاخص

نوع

salary <salary[@]<compromisedorg>.co[.]il

نمونه ای از فرستنده ایمیل هک شده

תלושי השכר (Machine translation: Pay slip)

موضوع ایمیل

תלוש שכר לחודש 02/2024 (Machine translation: Pay slip for the month 02/2024)

موضوع ایمیل

סיסמה לתלוש שכר (Machine translation: Pay slip password)

موضوع ایمیل

תלוש השכר .pdf (Machine translation: Pay slip)

عنوان سند

dee6494e69c6e7289cf3f332e2867662958fa82f819615597e88c16c967a25a9

SHA256 (PDF)

hxxp://ws.onehub[.]com/files/[alphanumericidentifier]

نمونه‌ای از URL  مخرب

hxxps://salary.egnyte[.]com/[alphanumericidentifier]

نمونه‌ای از URL  مخرب

hxxps://ln5.sync[.]com/[alphanumericidentifier]

نمونه‌ای از URL  مخرب

hxxps://terabox[.]com/s/[alphanumericidentifier]

نمونه‌ای از URL  مخرب

cc4cc20b558096855c5d492f7a79b160a809355798be2b824525c98964450492

SHA256 (salary.zip)

e89f48a7351c01cbf2f8e31c65a67f76a5ead689bb11e9d4918090a165d4425f

SHA256 (salary.msi)

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید