Nhóm tin tặc có liên kết với Iran được theo dõi là MuddyWater (hay còn gọi là Mango Sandstorm hoặc TA450) đã được liên kết với một chiến dịch lừa đảo mới vào tháng 3/2024 nhằm cung cấp giải pháp Giám sát và Quản lý từ xa (RMM) hợp pháp có tên Atera.
Hoạt động này, diễn ra từ ngày 7/3 đến tuần 11/3, nhắm vào các thực thể Israel trải dài trong các lĩnh vực sản xuất, công nghệ và an ninh thông tin toàn cầu, Proofpoint cho biết.
"TA450 đã gửi email có tệp đính kèm PDF chứa các liên kết độc hại", công ty bảo mật doanh nghiệp cho biết. "Mặc dù phương pháp này không xa lạ với TA450, nhưng tác nhân đe dọa gần đây đã dựa vào việc bao gồm các liên kết độc hại trực tiếp trong nội dung email thay vì thêm vào bước bổ sung này."
MuddyWater được cho là do các cuộc tấn công nhắm vào các tổ chức của Israel kể từ cuối tháng 10/2023, với những phát hiện trước đó từ Deep Instinct đã phát hiện ra việc tác nhân đe dọa sử dụng một công cụ quản trị từ xa khác từ N-able.
Đây không phải là lần đầu tiên đối thủ - được đánh giá là có liên kết với Bộ Tình báo và An ninh Iran (MOIS) - bị chú ý vì phụ thuộc vào phần mềm máy tính từ xa hợp pháp để đáp ứng các mục tiêu chiến lược của mình. Nó cũng đã được quan sát bằng cách sử dụng ScreenConnect, RemoteUtilities, Syncro và SimpleHelp.
Các chuỗi tấn công mới nhất liên quan đến việc MuddyWater nhúng liên kết đến các tệp được lưu trữ trên các trang web chia sẻ tệp như Egnyte, Onehub, Sync và TeraBox. Một số thư lừa đảo theo chủ đề trả phí được cho là đã được gửi từ một tài khoản email có khả năng bị xâm phạm được liên kết với tên miền "co.il" (Israel).
Trong giai đoạn tiếp theo, nhấp vào liên kết có trong tài liệu thu hút PDF dẫn đến việc truy xuất kho lưu trữ ZIP chứa tệp trình cài đặt MSI cuối cùng cài đặt Tác nhân Atera trên hệ thống bị xâm nhập. Việc sử dụng Atera Agent của MuddyWater bắt đầu từ tháng 7/2022.
Sự thay đổi trong chiến thuật của MuddyWater diễn ra khi một nhóm hacker Iran có tên Lord Nemesis đã nhắm mục tiêu vào lĩnh vực học thuật Israel bằng cách xâm nhập vào một nhà cung cấp dịch vụ phần mềm có tên Rashim Software trong trường hợp tấn công chuỗi cung ứng phần mềm.
"Lord Nemesis bị cáo buộc đã sử dụng các thông tin thu được từ vụ vi phạm Rashim để xâm nhập vào một số khách hàng của công ty, bao gồm nhiều viện nghiên cứu", Op Innovate nói. "Nhóm tuyên bố đã thu được thông tin nhạy cảm trong quá trình vi phạm, mà họ có thể sử dụng cho các cuộc tấn công tiếp theo hoặc gây áp lực lên các tổ chức bị ảnh hưởng."
Lord Nemesis được cho là đã sử dụng quyền truy cập trái phép vào cơ sở hạ tầng của Rashim bằng cách chiếm quyền điều khiển tài khoản quản trị viên và tận dụng các biện pháp bảo vệ xác thực đa yếu tố (MFA) không đầy đủ của công ty để thu thập dữ liệu cá nhân quan tâm.
Họ cũng đã gửi email cho hơn 200 khách hàng của mình vào ngày 4/3/2024, bốn tháng sau khi vi phạm ban đầu diễn ra, nêu chi tiết mức độ của vụ việc. Phương pháp chính xác mà tác nhân đe dọa có được quyền truy cập vào hệ thống của Rashim không được tiết lộ.
"Bằng cách xâm nhập thành công tài khoản quản trị viên của Rashim, nhóm Lord Nemesis đã phá vỡ hiệu quả các biện pháp bảo mật được đưa ra bởi nhiều tổ chức, tự cấp cho mình các đặc quyền nâng cao và quyền truy cập không hạn chế vào các hệ thống và dữ liệu nhạy cảm."