Аналитик ИБ-компании Vade предупреждает, что иранская группировка MuddyWater использует новые стратегии для атак на страны Ближнего Востока и Центральной Азии.
Тактики, методы и процедуры (TTPs) группы предполагают использование антивирусных сканеров и песочниц, чтобы попасть в почтовые ящики пользователей. MuddyWater также использует ZIP-файлы для доставки полезной нагрузки, что с недавних пор стало самым распространенным способом доставки вредоносного ПО на компьютеры ничего не подозревающих жертв.
Израиль, Ирак, Египет, Армения, Катар, Оман, Иордания, Азербайджан, Таджикистан и ОАЭ стали жертвами атак MuddyWater, в которых распространялись ссылки Dropbox или вложения документов, использующие вредоносные URL-адреса для направления жертв к ZIP-файлам.
MuddyWater также скомпрометировала учетные записи корпоративной электронной почты, чтобы обеспечить доставку инструмента удаленного администрирования Syncro, что позволило хакерам получить контроль над устройством.
На прошлой неделе ИБ-компания Deep Instinct заявила, что MuddyWater проводит фишинговую кампанию для установки инструмента удаленного администрирования Syncro. Злоумышленники отправляли фишинговые письма со взломанной корпоративной электронной почты (BEC-атака).