Sophos MDR imeona kampeni mpya inayotumia hadaa lengwa ili kushawishi walengwa kupakua zana halali ya kudhibiti mashine ya mbali ili kutupa vitambulisho. Tunaamini kwa ujasiri wa wastani kwamba shughuli hii, ambayo tunafuatilia kama STAC 1171, inahusiana na mwigizaji tishio wa Irani anayejulikana kama MuddyWater au TA450. Tukio la kwanza lililofuatiliwa lilikuwa mapema mwezi wa Novemba, wakati sheria za tabia za Sophos zilizuia shughuli ya utupaji hati miliki inayolenga shirika nchini Israeli. Katika kutathmini shughuli, tulipata kiashiria na mwingiliano wa TTP na kuripoti kwa Proofpoint kwenye TA450. Muigizaji alipata ufikiaji wa awali kupitia barua pepe ya ulaghai iliyomwelekeza mtumiaji kufungua hati iliyoshirikiwa iliyopangishwa katika hxxps.[://]ws[.]kituo kimoja[.]com/files/ na upakue faili inayoitwa ‘Mpango Mpya ICC LTD.zip’. Kielelezo cha 1: Tovuti ya kushiriki hati inayotumika kutoa mfumo wa mfumo wa binary wa Atera wa adui. Kumbukumbu ya ‘Mpango Mpya wa ICC LTD.zip’ ulikuwa na faili ya kisakinishi iliyobanwa kwa zana halali ya ufuatiliaji na usimamizi wa mbali (RMM) Atera. Usakinishaji wa Atera ulitumia akaunti ya majaribio iliyosajiliwa kwa anwani ya barua pepe ambayo tunaamini iliingiliwa. Baada ya kusakinisha Wakala wa Atera, watendaji tishio walitumia amri za uendeshaji wa mbali za Atera kutekeleza hati ya PowerShell (a.ps1) kwa lengo la kutupa vitambulisho na kuunda faili mbadala ya mzinga wa usajili wa SYSTEM. Shughuli hii ya utupaji kitambulisho iligunduliwa na kuzuiwa na sheria za tabia za Sophos: “cmdline”: “C:WINDOWSsystem32reg.exe” hifadhi HKLMSYSTEM SystemBkup.hiv” Kielelezo 2: Laini za amri zinazotekelezwa na zana ya Atera RMM. Vitendo vya baada ya maelewano katika Atera pia vilijumuisha: Amri nyingi za kuhesabu kikoa; Njia ya SSH kuelekea 51.16.209[.]105; Amri ya PowerShell iliyofichwa iliyotumiwa kupakua zana ya Level RMM (katika hxxps[:]//downloads.level.io/install_windows.exe). Tumeona huduma ya simu ya mteja mwingine wa Sophos ambaye si MDR nchini Marekani ambaye anafuata tabia kama hiyo. Sophos X-Ops itaendelea kufuatilia shughuli hii na kusasisha kwa taarifa zaidi kuhusu kundi hili la vitisho. URL ya Chapisho Asilia: https://news.sophos.com/en-us/2024/11/20/sophos-mdr-blocks-and-tracks-activity-from-probable-iranian-state-actor-muddywater/Category & Lebo: Operesheni za Usalama, Utafiti wa Tishio,Atera, matumizi mabaya ya huduma halali,MDR,MuddyWater,Hadaa,RMM,STAC 1171,TA450 – Operesheni za Usalama, Utafiti wa Vitisho,Atera, matumizi mabaya ya huduma halali,MDR,MuddyWater,Phishing,RMM,STAC 1171,TA450
Leave a Reply