Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

proofpoint-385-250

TA450 is gelieerd aan Iran en gebruikt ingesloten pdf-koppelingen in nieuwe campagne 

Onderzoekers van Proofpoint nemen sinds kort nieuwe activiteit waar van de aan Iran gelinkte dreigingsactor TA450. Deze dreigingsactor is ook bekend als MuddyWater, Mango Sandstorm en Static Kitten. De groep gebruikt een aan betalingen gerelateerde social engineering aanval en richt zich op Israëlische werknemers bij grote multinationale organisaties. TA450 staat bekend om het aanvallen van Israëlische entiteiten, vooral sinds oktober 2023, toen de oorlog verder oplaaide. De dreigingsactor zet deze trend voort met een focus op wereldwijde productie-, technologie-, en informatiesecuritybedrijven.  

TA450 stuurde in de phishing-campagne van 7 tot en met de week van 11 maart 2024 e-mails met pdf-bijlagen die kwaadaardige URL’s bevatten. Hoewel deze methode niet vreemd is voor TA450, maakt de dreigingsactor de laatste tijd meer gebruik van het direct opnemen van schadelijke koppelingen in e-mailberichten in plaats van het toevoegen van een extra stap. Onderzoekers van Proofpoint zien dat dezelfde doelwitten meerdere phishing e-mails ontvangen met pdf-bijlagen die andere links bevatten. De URL’s leiden naar verschillende sites voor het delen van bestanden, zoals Egnyte, OneHub, Sunc en TeraBox. De e-mails gebruiken ook een waarschijnlijk gecompromitteerd .IL-afzenderaccount. Dit komt overeen met de recente activiteiten van TA450.  

Wanneer een doelwit de bijlage opent en op de meegeleverde link klikt, leidt dit tot het downloaden van een zip-archief met een gecompromitteerde MSI. Hiermee installeren ze uiteindelijk  AteraAgent, een remote administration software. Het is bekend dat TA450 hier misbruik van maakt. 

Meer over
Lees ook
Barracuda: Laterale bewegingen een belangrijk detectiesignaal bij ransomware-aanval

Barracuda: Laterale bewegingen een belangrijk detectiesignaal bij ransomware-aanval

Uit onderzoek van Barracuda blijkt dat laterale bewegingen door de organisatie de duidelijkste signalen zijn van een beginnende ransomware-aanval: bijna de helft (44%) van de ransomware-aanvallen werd tijdens deze fase gedetecteerd. Een kwart (25%) van de incidenten werd gedetecteerd toen de aanvallers begonnen met het schrijven of wijzigen van be1

Nep-uitnodigingen voor podcast met nieuwe BlackSmith malware-toolkit

Nep-uitnodigingen voor podcast met nieuwe BlackSmith malware-toolkit

Nieuw onderzoek van cybersecuritybedrijf Proofpoint toont aan dat de cybercriminele groep TA453 vanaf 22 juli 2024 via meerdere e-mailadressen een prominent Joods persoon aanviel. Hierbij deed TA453 zich voor als de onderzoeksdirecteur van het Institute for the Study of War (ISW).

Proofpoint: "Cloudflare-tunnels misbruikt voor afleveren van RAT's"

Proofpoint: "Cloudflare-tunnels misbruikt voor afleveren van RAT's"

Cybersecuritybedrijf Proofpoint volgt een groep cybercriminelen die Cloudflare-tunnels gebruikt voor het afleveren van malware. De criminelen misbruiken de TryCloudflare-functie die het mogelijk maakt om eenmalig zonder een account een tunnel aan te maken. Deze tunnels verlenen op afstand toegang tot gegevens en bronnen die zich niet op het lokale1