Theo một nghiên cứu mới, các cơ quan chính phủ của UAE và Kuwait là mục tiêu của một chiến dịch gián điệp mạng mới có khả năng được thực hiện bởi các tác nhân đe dọa Iran.
Cho rằng hoạt động này là công việc của Static Kitten (còn gọi là MERCURY hoặc MuddyWater), Anomali cho biết “mục tiêu của hoạt động này là cài đặt một công cụ quản lý từ xa có tên là Kết nối màn hình (được ConnectWise mua lại năm 2015) với các tham số khởi chạy duy nhất có các thuộc tính tùy chỉnh,” với các mẫu phần mềm độc hại và URL giả dạng Bộ Ngoại giao (MOFA) của Kuwait và Hội đồng Quốc gia Các Tiểu vương quốc Ả Rập Thống nhất.
Kể từ khi bắt đầu vào năm 2017, MuddyWater đã liên quan đến một số cuộc tấn công chủ yếu nhằm vào các quốc gia Trung Đông, chủ động khai thác lỗ hổng Zerologon trong các chiến dịch tấn công trong thế giới thực nhằm tấn công các tổ chức nổi tiếng của Israel bằng các tải trọng độc hại.
Nhóm hack do nhà nước tài trợ được cho là đang làm việc theo lệnh của Lực lượng Vệ binh Cộng hòa Hồi giáo Iran, cơ quan tình báo và quân sự chính của đất nước.
Anomali cho biết họ đã phát hiện ra hai tệp ZIP thu hút riêng biệt được lưu trữ trên Onehub, được cho là chứa báo cáo về mối quan hệ giữa các quốc gia Ả Rập và Israel hoặc một tệp liên quan đến học bổng.
Các nhà nghiên cứu lưu ý: “Các URL được phân phối thông qua các email lừa đảo này hướng người nhận đến vị trí lưu trữ tệp dự định trên Onehub, một dịch vụ hợp pháp được Static Kitten sử dụng cho các mục đích bất chính”. tệp chứa ScreenConnect.”
Cuộc tấn công bắt đầu bằng cách hướng người dùng đến URL của trình tải xuống trỏ đến các tệp ZIP này thông qua email lừa đảo. Khi được mở, sẽ khởi chạy quy trình cài đặt cho ScreenConnect và sau đó sử dụng nó để giao tiếp với kẻ thù. Bản thân các URL được phân phối thông qua các tài liệu mồi nhử được nhúng trong email.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
ConnectWise Control (trước đây gọi là ScreenConnect) là một ứng dụng phần mềm máy tính từ xa tự lưu trữ có hỗ trợ truy cập không cần giám sát và tiến hành các cuộc họp với các tính năng chia sẻ màn hình.
Có vẻ như mục tiêu cuối cùng của những kẻ tấn công là sử dụng phần mềm để kết nối với các điểm cuối trên mạng máy khách, cho phép chúng thực hiện các chuyển động ngang hơn nữa và thực hiện các lệnh tùy ý trong môi trường đích nhằm tạo điều kiện thuận lợi cho việc đánh cắp dữ liệu.
Các nhà nghiên cứu kết luận: “Việc sử dụng phần mềm hợp pháp cho mục đích xấu có thể là một cách hiệu quả để các tác nhân đe dọa làm xáo trộn hoạt động của chúng”. “Trong ví dụ mới nhất này, Static Kitten rất có thể sử dụng các tính năng của ScreenConnect để đánh cắp thông tin nhạy cảm hoặc tải xuống phần mềm độc hại cho các hoạt động mạng bổ sung.”
