Грязная вода, группа хакеров использовала скомпрометированные корпоративные электронные письма для отправки фишинговых сообщений

Исследователи из Deep Instincts выяснили, что группа хакеров под названием Грязная вода, которая связана с Министерством разведки и безопасности Ирана, использовала скомпрометированные корпоративные электронные письма для отправки фишинговых сообщений своим целям.

Согласно Deep Instincts, группа Грязная вода применила эту новую тактику в кампании, которая могла начаться в сентябре, но была замечена только в октябре, также с использованием аутентичного программного обеспечения для удаленного администрирования.

Исследователи из Deep Instincts упоминают, что Грязная вода также использовала инструмент удаленного администрирования в своих предыдущих кампаниях с 2020 по 2021 год, которые зависели от Remote Utilities и ScreenConnect.

В другой кампании использовались те же тактики, но переключились на Atera Agent! (Это просто система для мониторинга компьютеров и серверов, которые вы хотите контролировать), была обнаружена Симоном Кениным (исследователем из Deep Instincts).

В дополнение к этому, исследователи из компании безопасности также обнаружили новую кампанию в октябре от Грязной воды, в которой группа использовала Syncro (это программное обеспечение для поставщиков управляемых услуг).

Симон Кенин в отчете отметил, что первоначальные фишинговые письма действительно были отправлены с законных корпоративных электронных почтовых аккаунтов, которые были скомпрометированы хакерами.

Исследователь добавил, что подписи компаний отсутствовали в фишинговых письмах, которые отправила группа хакеров. Тем не менее, цель все равно доверяла письму как законному, так как оно пришло с аутентичного адреса, принадлежащего известной компании.

Среди других целей группы хакеров были две египетские хостинговые компании. Одна из них была взломана и использовалась для отправки фишинговых писем, а другая получила вредоносное письмо. Это один из известных методов для получения доверия, так как получатель знает компанию.

Чтобы минимизировать риск обнаружения программным обеспечением/инструментами безопасности, группа хакеров прикрепила HTML-файл, который содержал ссылку для загрузки установщика Syncro MSI.

Более того, вложение не является архивом или исполняемым файлом, что не вызывает подозрений у пользователя, так как HTML в основном игнорируется в обучении и симуляциях по фишингу, добавили Deep Instincts.

Читать: Угроза для поставщиков телекоммуникационных услуг и изменение методов защиты при обнаружении

Сервис был размещен на файловом хранилище Microsoft OneDrive, а предыдущее письмо было отправлено с скомпрометированного электронного почтового аккаунта египетской хостинговой компании, а установщик Syncro был сохранен в Dropbox.

Хотя, по словам Кенина, большинство установщиков Syncro, которые использовала группа хакеров, были размещены на облачном хранилище OneHub’s Drive, которое использовалось в предыдущих хакерских кампаниях.

Одно, что стоит отметить здесь, это то, что установщик Syncro также использовался злоумышленниками, такими как LunaMoth. Более того, установщик Syncro поставляется с 21-дневной пробной версией, которая имеет полный веб-интерфейс и предоставляет полный контроль над компьютером, на котором установлен агент Syncro.

Как только агент Syncro оказывается на компьютере цели/жертвы, злоумышленники могут использовать его для установки задней двери, начать постоянный доступ и украсть данные.

Некоторые из других целей группы Грязная вода в этой кампании включают несколько страховых компаний в Израиле, и злоумышленники использовали те же тактики, т.е. взломали электронный почтовый аккаунт компании из израильской гостиничной индустрии и затем отправили фишинговые письма с взломанного электронного почтового аккаунта.

Чтобы это выглядело как страхование, группа хакеров добавила ссылку на HTML-вложение к установщику Syncro, размещенному на OneDrive.

Фишинговое письмо было написано на иврите (национальный язык Израиля). Сказав это, методы Грязной воды не являются современными. Тем не менее, свободно доступное программное обеспечение/инструменты могут быть эффективным способом для хакерских практик.

Злоумышленники используют разные имена, такие как Static Kiten, Cobalt Ulster и Mercury. Они активны с 2017 года.

Читать: Что делать, когда вы теряете интернет: основные методы устранения неполадок с интернет-соединением