Исследователи из HarfangLab следят за кампанией иранской угрожающей группы MuddyWater, отслеживаемой Microsoft как Mango Sandstorm, которая характеризуется использованием инструментов удаленного мониторинга и управления (RMM). Microsoft отслеживает этого агента как Mango Sandstorm.
По данным HarfangLab, MuddyWater использует легитимное RMM-программное обеспечение в своих атаках как минимум с 2021 года, а с октября 2023 года отслеживает эту кампанию с помощью Atera Agent. Используя бесплатные пробные предложения Atera, агенты, замеченные в этой кампании, были зарегистрированы с использованием взломанных корпоративных и личных учетных записей электронной почты.
Цепочка заражения в этой кампании начинается с рассылки копьеметательных писем. Эти письма специально адаптированы для организации-жертвы и содержат вредоносные вложения или ссылки. После взаимодействия с ними MuddyWater использует бесплатные сайты обмена файлами для размещения программного обеспечения RMM, в данном случае Atera Agent, предоставляя группе удаленный доступ и контроль над взломанными системами. Впоследствии группа получает возможность выполнять команды, проводить разведку и перемещаться по сети, способствуя развертыванию дополнительных полезных нагрузок, что позволяет ей сохранять устойчивость и осуществлять утечку конфиденциальных данных.
Специалисты Microsoft Threat Intelligence определили, что эта кампания, скорее всего, принадлежит игроку, которого Microsoft отслеживает как Mango Sandstorm, иранскому государственному игроку, связанному с Министерством разведки и безопасности Ирана (MOIS). В прошлых операциях Mango Sandstorm в основном, но не исключительно, стремился собирать информацию, которая, по оценкам, имеет стратегическую ценность, обычно от организаций в авиации, образовании, обороне, энергетике, правительстве и телекоммуникационном секторе на Ближнем Востоке и в Северной Африке.
Mango Sandstorm, как правило, предпочитает атаки типа «спирфишинг». В этой и предыдущих кампаниях группа использовала коммерческие RMM-инструменты для достижения устойчивости в целевой среде. Было установлено, что Mango Sandstorm пытается поставить Atera, SimpleHelp, RPort, N-able Advanced Monitoring Agent, Splashtop, Syncro и AnyConnect.
Indicators of Compromise
URLs
- https://kinneretacil.egnyte.com
- https://megolan.egnyte.com
- https://rimonnet.egnyte.com
- https://v2uploads.zopim.io/2/u/K/2uKM8Mhn4WHvqm9pjHrjaogyOYub9ouO/064eab6bff1b47eb92cbf1ed35f57098e5e686b2.msi
- https://v2uploads.zopim.io/2/u/K/2uKM8Mhn4WHvqm9pjHrjaogyOYub9ouO/892fedae59b274ca24916de33650d318168ce335.zip
SHA256
- 165a80f6856487b3b4f41225ac60eed99c3d603f5a35febab8235757a273d1fd
- 326dd85d76d33f3f04cbe7eef6d10ea73f800c84bfc3ed6f3963403c981bbb6e
- 5d7eb6c36d261adeef1a59bde9eb965f5d8d7f56a2e607da913e782167ba6cb6
- 900d08037d303d9b3d4a855e1a97d1f9283c28fe279e67eefe9997f856eeb439
- 9b49d6640f5f0f1d68f649252a96052f1d2e0822feadd7ebe3ab6a3cadd75985
- bab601635aafeae5fbfe1c1f7204de17b189b345efd91c46001f6d83efbb3c5a
- c6128f222f844e699760e32695d405bd5931635ec38ae50eddc17a0976ccefb4
- cc8be1d525853403f6cfabcf0fc3bd0ca398ece559388102a7fc55e9f3aa9b33
- d22fd0cdd6ace24e117d7330e9996a2809c2c2cb280b12f9ea43c484d2bfcfd4
- dd2675e2f6835f8a8a0e65e9dbc763ca9229b55af7d212da38b949051ae296a5
- fb02e97d52a00fca1580ca71ed152dd28dd5ae28ab0a9c8e7b32cebd7f1998a1