伊朗国有背景的威胁行动

关键要点

MuddyWater也称为TA450、Mango Sandstorm和Boggy Sandstorm利用新的DarkBeatC2指挥与控制基础设施进行最新攻击。攻击通过被攻击的以色列教育机构Kinneratacil的电子邮件账户发送网络钓鱼邮件，附件中包含部署Atera Agent软件的Egnyte托管文件。Kinneratacil的受损源于与第三方供应商Rashim的攻击，该事件可能使其他Rashim客户也受到波及。MuddyWater一直在使用DarkBeatC2进行受感染终端的管理，并为其创建了C2连接，以便进一步获取PowerShell脚本。相关研究显示，MuddayWater的攻击方法并未发生显著变化。

根据《黑客新闻》的报道，MuddayWater此次行动利用了新开发的DarkBeatC2指挥与控制工具，成为其最新攻击活动的一部分。

能上推特的加速器

具体而言，该攻击利用了被破解的Kinneratacil电子邮件账户，向目标发送了包含Egnyte托管附件的网络钓鱼邮件。这些附件旨在部署Atera Agent软件，Deep Instinct的报告指出。

Kinneratacil的安全漏洞源于Lord Nemesis的攻击也被称为TunnelVision和Nemesis Kitten，该攻击针对了第三方供应商Rashim，这意味着其他Rashim的客户也可能面临类似的安全威胁。与此同时，MuddyWater利用DarkBeatC2进行受感染终端的管理，并建立了C2连接，以便进一步检索PowerShell脚本。

“尽管偶尔会更换新的远程管理工具或更改其C2框架，但MuddyWater的攻击手法始终保持不变，”研究员Simon Kenin表示。

这一发展与Palo Alto Networks Unit 42的报告相呼应，该报告详细描述了伊朗国有赞助的APT33组织也称为Peach Sandstorm、Elfin、Refined Kitten和Curious Serpens对航空与国防领域的攻击，分发FalseFont后门。此外，MuddayWater的活动与APT33的攻击可以看作是伊朗在网络威胁操作上的持续扩展及其不断演化的技术策略。