详细内容或原文请订阅后点击阅览
MuddyWater 猖獗:为伊朗黑客服务的合法 RMM 程序
巧妙的伪装让公司没有机会发现攻击。
来源:安全实验室新闻频道Virtuoso伪装不会离开公司,也没有机会检测攻击。
来自360高级威胁研究所的安全研究人员最近发现,伊朗黑客组成的Muddywater集团正在积极使用法律计划进行远程监控和管理(RMM)。该组织自2017年以来一直在运作,主要攻击中东以及欧洲和北美的组织。他们的攻击重点是国家机构,军事结构,电信和石油公司。
最近发现 RMM div> 专家透露,自2020年以来,Muddywater一直使用各种RMM程序来渗透目标系统。这些程序包括远程实用程序,ScreenConnect,SimpleHelp,Syncro,N-BLE和ATERA代理。黑客使用这些程序来完全控制受害者的计算机,执行命令,下载和下载文件。 关键策略之一是网络钓鱼,其中攻击者在经常用阿拉伯语伪装成合法文件的投资发送信件。例如,要分发ATERA代理程序,他们使用受密码保护的RAR档案。输入密码并安装恶意软件后,ATERA已固定在受害者系统中。因此,攻击者可以完全控制该设备,同时保持未申报。 罚款 div> 另一个经常使用的泥浆程序是屏幕连接。黑客用阿拉伯文档将其掩盖在档案中,然后该程序启动并允许攻击者远程管理感染的计算机。与远程实用程序和N-BLE等其他程序一起使用了类似的方案,其中感染是通过PDF格式和网络钓鱼链接的文档发生的。RMM div>
专家透露,自2020年以来,Muddywater一直使用各种RMM程序来渗透目标系统。这些程序包括远程实用程序,ScreenConnect,SimpleHelp,Syncro,N-BLE和ATERA代理。黑客使用这些程序来完全控制受害者的计算机,执行命令,下载和下载文件。
关键策略之一是网络钓鱼,其中攻击者在经常用阿拉伯语伪装成合法文件的投资发送信件。例如,要分发ATERA代理程序,他们使用受密码保护的RAR档案。输入密码并安装恶意软件后,ATERA已固定在受害者系统中。因此,攻击者可以完全控制该设备,同时保持未申报。罚款 div>另一个经常使用的泥浆程序是屏幕连接。黑客用阿拉伯文档将其掩盖在档案中,然后该程序启动并允许攻击者远程管理感染的计算机。与远程实用程序和N-BLE等其他程序一起使用了类似的方案,其中感染是通过PDF格式和网络钓鱼链接的文档发生的。