Недавно была замечена шпионская кампания, нацеленная на организации на Ближнем Востоке и в соседних регионах. Он разделяет тот же целевой интерес, что и хакерская группа MuddyWater, предполагает Trend Micro.
Что же было обнаружено ?
Кампания, получившая название Earth Vetala, действует в правительственном, научном и туристическом секторах ОАЭ, Саудовской Аравии, Израиля и Азербайджана. Считается, что главными целями этой кампании являются страны Ближнего Востока.
Кампания активно крадет учетные данные из таких браузеров, как Chrome, Chromium, Firefox, Opera, Internet Explorer и Outlook.
Кампания использует электронные письма с фишингом или заманивает документы со встроенными ссылками на законный файлообменный сервис.
Его основная цель-распространение вредоносного пакета, содержащего инструменты ScreenConnect и RemoteUtilities для удаленного управления корпоративными системами.
Помимо сходства целей, исследователи отметили, что кампании Muddywater group и эта кампания атаки также имели сходство в стратегиях и методах, используемых для распространения RemoteUtilities и ScreenConnect.
Тактика, Техника и процедуры
Злоумышленники использовали несколько известных инструментов и методов для своей работы.
Кампания использует инструменты постэксплуатации, которые включают инструменты сброса паролей/процессов, инструменты обратного туннелирования и пользовательские бэкдоры.
Было замечено, что субъекты угроз инициируют связь с дополнительной инфраструктурой C2 для выполнения запутанных сценариев PowerShell.
Дополнительная информация :
Земля Ветала также была связана с аномальной активностью, выявленной в феврале.
Нынешние атаки имеют некоторое сходство с февральской кампанией, однако в то время МаддиВотер демонстрировал более высокий уровень технического мастерства.
В недавней кампании хакерам, похоже, не хватает опыта, чтобы правильно использовать все доступные инструменты.
Вывод
Хотя недавним атакам не хватает прежнего опыта, продемонстрированного группой, при полном использовании доступных инструментов и утилит группа МаддиВотер может нанести еще больший вред в будущем. MuddyWater group давно известна тем, что использует подводную охоту для своих жертв. Поэтому эксперты рекомендуют быть начеку и использовать антиспам и антифишинговые решения, чтобы оставаться защищенными от таких угроз.
Земля Ветала также была связана с аномальной активностью, выявленной в феврале.
Нынешние атаки имеют некоторое сходство с февральской кампанией, однако в то время МаддиВотер демонстрировал более высокий уровень технического мастерства.
В недавней кампании хакерам, похоже, не хватает опыта, чтобы правильно использовать все доступные инструменты.Земля Ветала также была связана с аномальной активностью, выявленной в феврале.
Нынешние атаки имеют некоторое сходство с февральской кампанией, однако в то время МаддиВотер демонстрировал более высокий уровень технического мастерства.
В недавней кампании хакерам, похоже, не хватает опыта, чтобы правильно использовать все доступные инструменты.Земля Ветала также была связана с аномальной активностью, выявленной в феврале.
Нынешние атаки имеют некоторое сходство с февральской кампанией, однако в то время МаддиВотер демонстрировал более высокий уровень технического мастерства.
В недавней кампании хакерам, похоже, не хватает опыта, чтобы правильно использовать все доступные инструменты.
Земля Ветала также была связана с аномальной активностью, выявленной в феврале.
Нынешние атаки имеют некоторое сходство с февральской кампанией, однако в то время МаддиВотер демонстрировал более высокий уровень технического мастерства.
В недавней кампании хакерам, похоже, не хватает опыта, чтобы правильно использовать все доступные инструменты.Earth Vetala has also been linked to Anomali-identified activity in February.
The current attacks show some similarities with the February campaign, however at that time, MuddyWater had shown higher levels of technical skill.
