详细内容或原文请订阅后点击阅览
伊朗的 MuddyWater 在最新的间谍活动中侵入了 100 多个政府网络
Group-IB 表示,与德黑兰有关的人员使用被劫持的邮箱和 VPN 在中东地区传播网络钓鱼电子邮件 根据 Group-IB 的研究人员的说法,伊朗最喜欢的泥足网络间谍人员再次出击,这次入侵了中东和北非的 100 多个政府实体。
来源:The Register _恶意软件据 Group-IB 的研究人员称,伊朗最喜欢的泥足网络间谍组织再次出击,这次入侵了中东和北非的 100 多个政府实体。
该活动于 8 月开始,使用受损的企业邮箱向大使馆、部委和电信机构发送令人信服的网络钓鱼电子邮件。被追踪为 MuddyWater(也称为 Seedworm、APT34、OilRig 和 TA450)的攻击者能够从通过 NordVPN 服务访问的合法地址发送恶意消息。
活动每条消息都带有武器化的 Word 附件,要求用户“启用内容”。任何确实启动了一个宏的人都会解压一个绰号为“FakeUpdate”的加载程序,然后该加载程序安装了船员自定义后门“Phoenix”的更新版本。一旦安装,恶意软件就允许操作员探索受感染的系统、窃取凭据、上传或下载文件并保持持久性。
Group-IB 表示,该工具包还窃取了 Chrome、Edge、Opera 和 Brave 中存储的浏览器密码,同时依靠 PDQ 和 Action1 等现成的远程管理工具来与合法的管理流量混合。
据 Group-IB 称,超过四分之三的受害者是外交或政府实体,其余是国际组织和电信提供商,但未透露任何具体目标。虽然 MuddyWater 的间谍活动长期以来严重依赖网络钓鱼和社会工程,但这次最新活动的规模表明,德黑兰间谍头目要么能力有所增强,要么提出异常广泛的收集要求。
链接Group-IB 在其报告中表示,使用合法的 VPN 服务和已经受信任的邮箱使得检测变得特别棘手。 Group-IB 指出:“通过利用与此类通信相关的信任和权威,该活动大大增加了欺骗收件人打开恶意附件的机会。”