Египетский хостинг-провайдер провел фишинговую атаку на конкурента

[Artifact]

Но за этим стоят «партнеры» из Ирана.

ИБ-компания Deep Instinct заявила , что иранская группировка MuddyWater проводит фишинговую кампанию для установки инструмента удаленного администрирования Syncro.
Согласно отчету исследователей, злоумышленники отправляли фишинговые письма со взломанной корпоративной электронной почты (BEC-атака). В письмах отсутствовала официальная подпись компании, но жертвы все равно доверяли письмам, поскольку они были отправлены с адреса известной им компании.

Цепочка атаки MuddyWater
Среди целей атаки — два египетских хостинг-провайдера. Один был скомпрометирован для рассылки фишинговых писем, а другой был получателем этих писем.
Чтобы снизить вероятность обнаружения средствами защиты электронной почты, злоумышленник прикрепил к письму HTML-файл, содержащий ссылку для загрузки MSI-установщика Syncro из Microsoft OneDrive или Dropbox. По словам экспертов, HTML-файл, в отличие от архива или исполняемого файла, не рассматривается на тренингах по фишингу, поэтому он не вызывает подозрений у пользователя.

Вредоносное письмо с HTML-вложением
Инструмент удаленного администрирования Syncro имеет пробную версию на 21 день, которая обеспечивает полный контроль над целевым компьютером. Попав в систему, киберпреступники могут использовать ее для развертывания бэкдоров, чтобы установить постоянство, а также украсть данные.
Также эта кампания затронула несколько страховых компаний в Израиле. MuddyWater использовала ту же тактику и доставляла электронные письма со взломанного аккаунта электронной почты израильской гостиничной компании. Письма под предлогом поиска страховки отправлялись страховым фирмам. К письму хакеры приложили HTML-вложение со ссылкой на установщик Syncro, размещенный на OneDrive.

Фишинговое электронное письмо, отправленное страховым компаниям в Израиле
Электронное письмо было написано на иврите, но из-за неудачного выбора слов письмо выглядит подозрительно для носителя языка.
Обычно MuddyWater занимается шпионскими операциями, нацеленными как на государственные, так и на частные организации (телекоммуникационные компании, местные органы власти, оборонные, нефтегазовые организации) на Ближнем Востоке, в Азии, Европе, Северной Америке и Африке.