Перед открытием PDF-вложений проверьте их на наличие встроенных ссылок
Согласно недавнему отчету исследователей Proofpoint, хакеры TA450, связанные с Ираном, также известные как MuddyWater, Static Kitten и Mango Sandstorm, якобы использовали социальную инженерию, связанную с оплатой, т.е. встроенные ссылки в PDF-вложениях в своих фишинговых кампаниях.
Фишинговая кампания началась 7 марта 2024 года и продолжалась до 11 марта 2024 года. В этот период TA450 отправляли электронные письма с PDF-вложениями, содержащими вредоносные ссылки. Это не является необычным методом для хакеров TA450; ранее они добавляли вредоносные ссылки непосредственно в текст письма.
На этот раз они эволюционировали и добавили дополнительный шаг, чтобы сделать это незаметным. Они также использовали вредоносные ссылки, но применили немного другую технику. Они отправили несколько фишинговых писем с вредоносными PDF-вложениями и другими встроенными ссылками тем же жертвам.
Ссылки вели на несколько сайтов обмена файлами, таких как Onehub, TeraBox, Egnyte и Sync, и исследователи подозревали, что электронная почта также была скомпрометирована.
Предположим, жертва открывает вложение и нажимает на ссылку. В этом случае будет загружен файл Zip-архива, который состоит из сжатого MSI, который установит AteraAgent, программное обеспечение для удаленного администрирования, которое использует TA450. 
После установки программное обеспечение предоставляет TA450 доступ к устройству жертвы, что может привести к потенциальной краже данных и другим злонамеренным действиям.
Этот метод эффективно сработал на целевых израильских сотрудниках крупных многонациональных организаций, и группа хакеров нацеливалась на израильские организации специально с октября 2023 года с началом войны Израиля и ХАМАСа.
Успех кампании можно частично объяснить использованием учетных записей электронной почты отправителя, которые соответствуют содержанию приманки, тем самым увеличивая подлинность этих фишинговых писем.
Это первый раз, когда группа использовала этот метод, который можно отметить как эскалацию сложности атак, что делает их довольно трудными для обнаружения среднестатистическими пользователями.
Если учесть влияние, отправка нескольких фишинговых писем тем же целям увеличивает вероятность успешного проникновения.
Также появились другие новые атаки. Одна кампания использовала трюк с Office, чтобы обмануть жертв, и Perception Point заметила это; прочитайте полную историю здесь.
С учетом растущих рисков и увеличения сложности атак, мы, пользователи, всегда должны быть осторожны при открытии непрошеных электронных писем и документов. А что касается исследователей безопасности, они также должны более активно следить за такими типами атак.
Каковы ваши мысли по этому поводу? Поделитесь своим мнением с читателями в разделе комментариев ниже.
