概述
Proofpoint 研究人员最近观察到与伊朗结盟的威胁组织 TA450(也称为 MuddyWater、Mango Sandstorm 和 Static Kitten)的新活动,该组织使用与薪酬相关的社会工程诱惑来针对大型跨国组织的以色列员工。 TA450 以针对以色列实体而闻名,特别是自2023 年 10 月以色列与哈马斯战争爆发以来,这种趋势继续延续,重点关注全球制造、技术和信息安全公司。
在从 3 月 7 日开始并持续到 2024 年 3 月 11 日这一周的网络钓鱼活动中,TA450 发送了带有包含恶意链接的 PDF 附件的电子邮件。虽然这种方法对 TA450 来说并不陌生,但威胁行为者最近依赖于直接在电子邮件正文中包含恶意链接,而不是添加此额外步骤。 Proofpoint 研究人员观察到,相同的目标会收到多封带有 PDF 附件的网络钓鱼电子邮件,这些附件的嵌入链接略有不同。这些链接指向各种文件共享网站,包括 Egnyte、Onehub、Sync 和 TeraBox。这些电子邮件还使用了可能受到损害的 .IL 发件人帐户,这与该威胁行为者最近的活动一致。
如图 1 和 2 所示,如果目标打开附件并单击其中包含的链接,则会导致下载包含压缩 MSI 的 ZIP 存档,最终会安装 AteraAgent,这是已知被滥用的远程管理软件通过 TA450。
图1.打开带有恶意链接的PDF附件(机器翻译:文档标题:工资单;PDF正文:您好,从现在起通过以下软件接收您的工资单)
图 2. 通过 Onehub 进行 ZIP 存档,用于下载远程管理软件
归因
Proofpoint 研究人员根据已知的 TA450 策略、技术和程序、活动目标和恶意软件分析,将此活动归因于 TA450。 2022 年 1 月,美国网络司令部 将该组织归咎于伊朗情报与安全部。
为什么这很重要
这项活动之所以引人注目,有几个原因,其中之一是它标志着 TA450 策略的转变。虽然此活动并不是第一次观察到 TA450 使用带有恶意链接的附件作为威胁行为者攻击链的一部分的实例,但这是 Proofpoint 研究人员第一次观察到 TA450 尝试在 PDF 附件中传递恶意 URL,而不是直接链接文件在电子邮件中。此外,此活动是 Proofpoint 首次观察到 TA450 使用与诱饵内容匹配的发件人电子邮件帐户。例如,此活动使用的电子邮件帐户为salary[@]co[.]il,该帐户与各种以薪酬为主题的主题行一致。
最后,此活动延续了 TA450 利用希伯来语诱饵和受损 .IL 帐户来针对属于大型跨国公司的以色列个人的趋势,从而使具有此类足迹的组织面临更高的风险。
新兴威胁 (ET) 签名
妥协指标 (IOC)
参考链接: https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta450-uses-embedded-links-pdf-attachments-latest-campaign
图片来源网络目标可联系删除
