MuddyWater kihasználja az Atera Agent
2024 eleje óta a HarfangLab szorosan figyelemmel kíséri az iráni állami támogatású MuddyWater tevékenységét. A vizsgálatadataik feltártak egy aktív kampányt, amely 2023 októbere óta dübörög, igazodva az abban a hónapban lezajlott Hamász-támadáshoz. Ebben a legújabb kampányban a MuddyWater nagymértékben támaszkodott az Atera Agent nevű legitim távfelügyeleti és felügyeleti (RMM) eszközre.
A vizsgálat olyan új meglátásokat és információkat oszt meg az Atera Agents MuddyWater használatával kapcsolatban, amelyeket a korábbi jelentésekben nem emeltek ki.
Az Atera Agents regisztrációjához használt fiókok, valamint az elemzett e-mailek alapján úgy gondolják, hogy a MuddyWater a következő szektorokat célozta meg 2023 októbere és 2024 áprilisa között:
Légitársaságok, IT-cégek, távközlés, gyógyszeripar, járműgyártás, logisztika, utazás és turizmus, munkaügyi/bevándorlási ügynökség, valamint kisvállalkozások Izraelben, Indiában, Alegria-ban, Törökországban, Olaszországban és Egyiptomban.
A MuddyWater kiemelten fontosnak tartja az üzleti e-mail fiókokhoz való hozzáférést a folyamatban lévő támadási kampányai során. Ezek a feltört fiókok értékes erőforrásként szolgálnak, lehetővé téve a csoport számára, hogy növelje lándzsás adathalászaik hitelességét és hatékonyságát, megőrizze a célzott szervezeteken belüli kitartást, és elkerülje a felderítést azáltal, hogy beleolvad a legitim hálózati forgalomba. Ezen túlmenően az RMM-szoftver (korábban saját üzemeltetésű, most felhőben) használata, valamint a különféle fájltárhely-szolgáltatók használata megnehezíti az ilyen jellegű tevékenységek észlelését és nyomon követését.
A HarfangLab megosztotta az azonosításhoz szükséges mutatókat.