Иранская фишинговая кампания нацелена на организационные электронные почтовые системы с использованием нового инструмента атаки

В последние недели Национальная кибердирекция Израиля (INCD) выявила масштабную фишинговую кампанию, нацеленную на организации, использующую метод, который кажется весьма правдоподобным для получателей. Систематические попытки атаки приписываются атакующей группе MuddyWater, связанной с Ираном. Специальный отчет о кампании был опубликован сегодня и будет представлен во время Кибернедели (CyberWeek) в Тель-Авивском университете.

В рамках атак злоумышленники получают доступ к легитимным учетным записям электронной почты организаций и используют их для рассылки фишинговых писем, которые выглядят аутентично — с правильным ивритом, содержанием, адаптированным к сфере деятельности организации, и вложениями с соответствующими именами файлов. Письма содержат вредоносный документ Word, и как только пользователь нажимает "Включить содержимое", вредоносный инструмент берет под контроль рабочую станцию. Сообщения настраиваются в соответствии с окружением организации, включая использование официально выглядящих логотипов, подписей и документов.

При открытии файла на конечном устройстве устанавливается специализированный инструмент атаки, известный как BlackBeard. Этот относительно новый вредоносный софт позволяет атакующему получить полный контроль над системой, картографировать окружение, обходить средства безопасности и загружать дополнительные компоненты атаки по мере необходимости. С момента заражения учетная запись электронной почты скомпрометированного пользователя используется для дальнейшего распространения атаки как внутри, так и за пределами организации, достигая тысяч получателей. Вредоносное ПО использует скрытные методы сохранения, которые позволяют ему оставаться активным, не появляясь в местах, которые обычно контролируются средствами безопасности. Эта операционная схема хорошо согласуется с известными тактиками MuddyWater и была замечена в предыдущих атаках в Израиле.

MuddyWater, действующая под эгидой Министерства разведки Ирана, сосредотачивается на сборе разведывательной информации и установлении долгосрочных позиций в целевых сетях. В последние годы группа постоянно пыталась атаковать израильские объекты, включая государственные учреждения, здравоохранение, образование и малые и средние предприятия. Группа сочетает собственные разработанные инструменты с распределенной инфраструктурой командования и управления. Попытки атак также были зафиксированы в других странах, включая Турцию, Афганистан, Пакистан, Объединенные Арабские Эмираты, Ирак, Великобританию, Азербайджан, США, Египет и Нигерию.

Национальная кибердирекция Израиля призывает организации по всему Израилю проявлять повышенную бдительность, строго внедрять несколько критически важных защитных мер и пересматривать опубликованные индикаторы компрометации (IOC) и рекомендуемые меры по смягчению последствий.

По словам киберисследователей INCD, авторов отчета: "Недавние атаки еще раз демонстрируют постоянные попытки иранских акторов проникнуть в израильские сети и установить долгосрочное присутствие в них. Имитация, точный язык и легитимно выглядящие файлы созданы для обхода человеческой инстинктивной реакции и заманивания пользователей к открытию вредоносного вложения. Одна успешная инвазия такого рода может быстро перерасти в широкомасштабную атаку на целые организации. Именно поэтому INCD продолжает выпускать обновления, предупреждения и практические рекомендации для организаций, чтобы снизить риски и укрепить национальную киберустойчивость."

Нажмите здесь для полного отчета