- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 7ч 36м
- Сделки
- 251
- Нарушения
- 0 / 0
Согласно отчету исследователей, злоумышленники отправляли фишинговые письма со взломанной корпоративной электронной почты (BEC-атака). В письмах отсутствовала официальная подпись компании, но жертвы все равно доверяли письмам, поскольку они были отправлены с адреса известной им компании.
Среди целей атаки — два египетских хостинг-провайдера. Один был скомпрометирован для рассылки фишинговых писем, а другой был получателем этих писем.
Чтобы снизить вероятность обнаружения средствами защиты электронной почты, злоумышленник прикрепил к письму HTML-файл, содержащий ссылку для загрузки MSI-установщика Syncro из Microsoft OneDrive или Dropbox. По словам экспертов, HTML-файл, в отличие от архива или исполняемого файла, не рассматривается на тренингах по фишингу, поэтому он не вызывает подозрений у пользователя.
Инструмент удаленного администрирования Syncro имеет пробную версию на 21 день, которая обеспечивает полный контроль над целевым компьютером. Попав в систему, киберпреступники могут использовать ее для развертывания бэкдоров, чтобы установить постоянство, а также украсть данные.
Также эта кампания затронула несколько страховых компаний в Израиле. MuddyWater использовала ту же тактику и доставляла электронные письма со взломанного аккаунта электронной почты израильской гостиничной компании. Письма под предлогом поиска страховки отправлялись страховым фирмам. К письму хакеры приложили HTML-вложение со ссылкой на установщик Syncro, размещенный на OneDrive.
Электронное письмо было написано на иврите, но из-за неудачного выбора слов письмо выглядит подозрительно для носителя языка.
Обычно MuddyWater занимается шпионскими операциями, нацеленными как на государственные, так и на частные организации (телекоммуникационные компании, местные органы власти, оборонные, нефтегазовые организации) на Ближнем Востоке, в Азии, Европе, Северной Америке и Африке.
