Главная страница » IOC
0
9 месяцев
IOC

MuddyWater (TA450) APT IOCs - Part 5

security

С начала 2024 года исследователи компании HarfangLab занимаются отслеживанием деятельности иранской киберпреступной группы MuddyWater, которая получает государственное финансирование. Было обнаружено, что они активно используют инструмент удаленного мониторинга и управления (RMM) под названием Atera Agent. Эта кампания началась в октябре 2023 года, совпадая с атакой ХАМАС.

MuddyWater

Предыдущие отчеты о кибератаках MuddyWater уже содержали информацию об использовании RMM-инструментов, таких как ScreenConnect, Syncro и SimpleHelp. Однако в новом отчете приводятся подробности использования Atera Agent, которые ранее не были известны. MuddyWater выбрала Atera Agent, потому что он не требует создания собственной инфраструктуры, что обеспечивает им большую операционную безопасность.

С октября 2023 года исследователи заметили значительный рост использования установочных пакетов Atera Agent, связанных с MuddyWater, который продолжался до апреля 2024 года. Как и в предыдущих случаях, хакеры использовали учетные записи электронной почты, взломанные или купленные, чтобы зарегистрировать агентов Atera Agent. Они отправляли спирфишинговые письма с ссылками на файлообменные сайты, где находились установочные файлы или сама программа установки Atera Agent.

Злоумышленники постоянно улучшают свою тактику спирфишинга, создавая более убедительные и профессиональные письма, чтобы обмануть свои цели. Ситуация сильно изменилась с октября 2023 года, где письма были менее убедительными и простыми по сравнению с более сложными и качественными письмами, отправляемыми в апреле 2024 года.

Atera Agent предоставляет широкий набор возможностей удаленного управления, включая загрузку/выгрузку файлов, запуск интерактивной оболочки и использование искусственного интеллекта для выполнения команд. Это делает Atera Agent более привлекательным для MuddyWater по сравнению с другими RMM-решениями, такими как SimpleHelp.

В целом, MuddyWater продолжает усиливать свою кибератакующую деятельность, используя легитимные инструменты, чтобы оставаться незаметными и обмануть свои цели. Это требует от организаций и служб безопасности быть более бдительными и принимать соответствующие меры для защиты от таких атак.

Indicators of Compromise

URLs

  • https://filetransfer.io/data-package/tuMe19fV/download
  • https://freeupload.store/rALE7/wIHItUcE08.msi/download
  • https://kinneretacil.egnyte.com/
  • https://ln5.sync.com/dl/cc84c9a40/grefpuhc-p9kmxpkx-kw6waakz-e8xp8atm
  • https://megolan.egnyte.com/
  • https://rimonnet.egnyte.com/
  • https://v2uploads.zopim.io/2/u/K/2uKM8Mhn4WHvqm9pjHrjaogyOYub9ouO/064eab6bff1b47eb92cbf1ed35f57098e5e686b2.msi
  • https://v2uploads.zopim.io/2/u/K/2uKM8Mhn4WHvqm9pjHrjaogyOYub9ouO/892fedae59b274ca24916de33650d318168ce335.zip
  • https://ws.onehub.com/files/x68hqy91

SHA256

  • 09e09503962a2a8022859e72b86ad8c69dcbf79839b71897c0bf8a4c4b9f4dd6
  • 14c270cf53a50867e42120250abca863675d37abf39d60689e58288a9e870144
  • 165a80f6856487b3b4f41225ac60eed99c3d603f5a35febab8235757a273d1fd
  • 2722e289767ae391e3c3773b8640a8b9f6eb24c6a9d6e541f29c8765f7a8944b
  • 2ae6c5c2b71361f71ded4ad90bbf6ef0b0f4778caf54078c928e2017302fbe69
  • 31591fcf677a2da2834d2cc99a00ab500918b53900318f6b19ea708eba2b38ab
  • 326dd85d76d33f3f04cbe7eef6d10ea73f800c84bfc3ed6f3963403c981bbb6e
  • 4b41b605ffc0e31bd9d460d5a296ac6e8cfd56a215dc131e90ec2654f0ffe31b
  • 5d7eb6c36d261adeef1a59bde9eb965f5d8d7f56a2e607da913e782167ba6cb6
  • 638c7a4f833dc95dbab5f0a81ef03b7d83704e30b5cdc630702475cc9fff86a2
  • 7daab239271e088f04cae95627cc0066f48a1b178a1ff60b1140aa729126e928
  • 7e6a5e32596b99f45ea9099a14507a82c10a460c56585499d7cd640f2625567f
  • 85103955e35a1355ce68a92eaedd8f9376de1927d95bf12657b348dea6a8077b
  • 900d08037d303d9b3d4a855e1a97d1f9283c28fe279e67eefe9997f856eeb439
  • 9b49d6640f5f0f1d68f649252a96052f1d2e0822feadd7ebe3ab6a3cadd75985
  • bab601635aafeae5fbfe1c1f7204de17b189b345efd91c46001f6d83efbb3c5a
  • c2f95299d8aa912e1b753f3f0780a00ea6e8b5dab0245d77fcf3b6499677c328
  • c6128f222f844e699760e32695d405bd5931635ec38ae50eddc17a0976ccefb4
  • cc4cc20b558096855c5d492f7a79b160a809355798be2b824525c98964450492
  • cc8be1d525853403f6cfabcf0fc3bd0ca398ece559388102a7fc55e9f3aa9b33
  • d22fd0cdd6ace24e117d7330e9996a2809c2c2cb280b12f9ea43c484d2bfcfd4
  • dd2675e2f6835f8a8a0e65e9dbc763ca9229b55af7d212da38b949051ae296a5
  • e89f48a7351c01cbf2f8e31c65a67f76a5ead689bb11e9d4918090a165d4425f
  • ec553e14b84ccca9b84e96a9ed19188a1ba5f4bf1ca278ab88f928f0b00b9bd0
  • f17f6866f4748e6e762752062acdf983d3b083371db83503686b91512b9bcae3
  • f9c1a117de8519060a3bf189e72277e895345b8fece73fc0d750946c7f288367
  • fb02e97d52a00fca1580ca71ed152dd28dd5ae28ab0a9c8e7b32cebd7f1998a1
  • fb58c54a6d0ed24e85b213f0c487f8df05e421d7b07bd2bece3a925a855be93a
  • ff2ae62ba88e7068fa142bbe67d7b9398e8ae737a43cf36ace1fcf809776c909
  • ffbe988fd797cbb9a1eedb705cf00ebc8277cdbd9a21b6efb40a8bc22c7a43f0
Комментарии: 0
Похожие записи
0
1 час
IOC

EncryptHub APT IOCs - Part 2

security
Угроза EncryptHub обнародована, когда команда разведки угроз KrakenLabs и Outpost24 провели исследование о его деятельности. EncryptHub стал все более популярным и развивающимся киберпреступником.
0
2 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
3 дня
Articles

Практические проблемы атрибуции APT в случае с подгруппой Lazarus

security
Lazarus- это название, относящееся не к одной атакующей группе, а к совокупности многих подгрупп. Это название первоначально относилось к деятельности одной группы или группы очень ограниченного размера