Исследователи Proofpoint недавно заметили новую активность связанного с Ираном угрожающего актора TA450 (также известного как MuddyWater, Mango Sandstorm и Static Kitten), в которой группа использовала платную социальную инженерию для атак на израильских сотрудников крупных многонациональных организаций.
В ходе фишинговой кампании, проводившейся с 7 по 11 марта 2024 года, TA450 отправлял электронные письма с вредоносными ссылками в формате PDF. Исследователи Proofpoint отмечают, что TA450 предпочитает включать вредоносные ссылки непосредственно в тела писем, но в этот раз они использовали вложения PDF. Ссылки вели на различные файлообменные сайты. Если адресат открывал вложение и переходил по ссылке, загружался ZIP-архив, который содержал вредоносное программное обеспечение AteraAgent. Эта активность связывается с TA450 на основе известных тактик и методов, а также анализа вредоносного ПО. Она также является поворотным моментом, поскольку впервые TA450 использовал вложения PDF со ссылками в своих атаках и использовал почтовый ящик отправителя, соответствующий содержимому приманки. Активность TA450 продолжает направляться на израильских сотрудников крупных международных компаний, что повышает риск для таких организаций.
Indicators of Compromise
URLs
- http://ws.onehub.com/files/[alphanumericidentifier]
- https://ln5.sync.com/[alphanumericidentifier]
- https://salary.egnyte.com/[alphanumericidentifier]
- https://terabox.com/s/[alphanumericidentifier]
SHA256
- cc4cc20b558096855c5d492f7a79b160a809355798be2b824525c98964450492
- dee6494e69c6e7289cf3f332e2867662958fa82f819615597e88c16c967a25a9
- e89f48a7351c01cbf2f8e31c65a67f76a5ead689bb11e9d4918090a165d4425f