Proofpoint evidenzia una nuova strategia da parte di TA450, che ha tentato di distribuire un URL dannoso in un allegato PDF anziché collegare direttamente il file in un’email. TA450, anche noto come MuddyWater, Mango Sandstorm e Static Kitten, utilizza un’esca di social engineering a pagamento per colpire dipendenti israeliani di grandi multinazionali. TA450 ha infatti preso di mira entità israeliane, almeno da ottobre 2023, inizio della guerra tra Israele e Hamas. Obiettivo primario le aziende manifatturiere, tecnologiche e di sicurezza informatica globali.
Attenzione all’account mittente .IL
Nella campagna di phishing, iniziata il 7 marzo e proseguita fino alla settimana dell’11 marzo 2024, TA450 ha inviato email con allegati PDF contenenti link malevoli. Sebbene questo metodo non sia del tutto estraneo a TA450, più di recente questo attore si era affidato a link pericolosi inclusi direttamente nel corpo dei messaggi email, invece di aggiungere questo ulteriore passaggio. I ricercatori di Proofpoint hanno osservato gli stessi obiettivi ricevere più email di phishing con allegati PDF che contenevano link incorporati leggermente diversi.
Come cambiano le strategie della cyberminaccia TA450
Questi conducevano a una serie di siti di condivisione di file, tra cui Egnyte, Onehub, Sync e TeraBox. Le email utilizzavano anche un account mittente .IL probabilmente compromesso, il che è coerente con la recente attività di questo attore. Quando un obiettivo apriva l’allegato e cliccava sul link incluso, si scaricava un archivio ZIP contenente un MSI compresso. Questo alla fine installava AteraAgent, software di amministrazione remota di cui TA450 è solito abusare. I ricercatori di Proofpoint attribuiscono questa campagna a TA450 sulla base di tattiche, tecniche e procedure note, del targeting della campagna e dell’analisi del malware. Nel gennaio 2022, il Cyber Command degli Stati Uniti ha attribuito questo gruppo al Ministero dell’Intelligence e della Sicurezza dell’Iran.
Perché è rilevante
Questa attività è degna di nota per diversi motivi. Come il fatto che segna una svolta nelle tattiche di TA450. Sebbene questa campagna non sia il primo caso osservato in cui utilizza allegati con link malevoli come parte della catena di attacco, è la prima volta che i ricercatori di Proofpoint hanno osservato TA450 tentare di distribuire un URL pericoloso in un allegato PDF invece di collegare direttamente il file in una email. Inoltre, è la prima volta che Proofpoint ha osservato TA450 utilizzare un account email del mittente che corrisponde al contenuto dell’esca. Ad esempio, in questa campagna ha utilizzato un account salary[@]<compromisedorg>co[.]il, che è in linea con l’oggetto a tema retributivo.