Sophos MDR обнаружил новую кампанию, отслеживаемую как STAC 1171. Исследователи Sophos с умеренной уверенностью полагают, что эта активность связана с иранским злоумышленником, известным как MuddyWater (aka TA450, Mango Sandstorm).
MuddyWater (TA450) APT
Кампания включает в себя целевой фишинг, чтобы обманом заставить жертв загрузить легитимный инструмент удаленного управления машинами, Atera, для целей сброса учетных данных. Первоначальный доступ был получен с помощью фишингового письма, которое направляло пользователя на сайт обмена документами для загрузки файла под названием 'New Program ICC LTD.zip'. Установка Atera осуществлялась с помощью пробной учетной записи, привязанной к потенциально скомпрометированному адресу электронной почты. Затем злоумышленники использовали команды удаленного запуска Atera для выполнения сценария PowerShell, направленного на сброс учетных данных и резервное копирование ветки реестра SYSTEM. Действия после компрометации включали перечисление доменов, создание SSH-туннеля и загрузку другого инструмента удаленного управления, Level RMM, с помощью обфусцированной команды PowerShell.
Indicators of Compromise
IPv4
- 51.16.209.105
URLs
- https://downloads.level.io/install_windows.exe
