לפי חוקרי סייבר בחברת האבטחה Proofpoint, משתמשת קבוצת ההאקרים האירנית TA450 במיילים מזויפים של משכורות, פיצויים ותמריצים כספיים – על מנת להערים על עובדים ישראלים בארגונים רב-לאומיים ללחוץ על קישורים זדוניים. TA450 – קבוצת ריגול סייבר הידועה גם בשם MuddyWater, Mercury ו- Static Kitten, מפתה קורבנות ישראליים העובדים בחברות ייצור, טכנולוגיה ואבטחת מידע גלובליות, באמצעות פתיונות הנדסה חברתית הקשורים לשכר. מתקפה זו מהווה המשך למתקפות סייבר נגד ארגונים ישראלים מאז תחילת מלחמת ישראל-חמאס באוקטובר 2023.
Proofpoint דיוחה כי TA450 מכוונת לספקי טכנולוגיה אזוריים במטרה להשיג גישה למשתמשים במורד הזרם בחברות קטנות עד בינוניות, באמצעות מתקפות שרשרת אספקה נגד ספקי שירותים אזוריים פגיעים. מתקפת הדיוג החלה ב- 7 במרץ ונמשכה עד השבוע של ה- 11 במרץ. TA450 שלחו מיילים המכילים קבצי PDF בעלי קישורים זדוניים. למרות שהטקטיקה הזו אינה חדשה ב- TA450, הצביעו תצפיות אחרונות על כך שהקבוצה מעדיפה לכלול קישורים זדוניים ישירות בגוף המיילים. לקבצי ה- PDF מצורפים קישורים מוטמעים המובילים לאתרי שיתוף קבצים כגון Egnyte, Onehub, Sync ו- TeraBox. הודעות הדיוג הגיעו מחשבונות בסיומת IL אשר ככל הנראה כבר נפרצו. גישה ראשונית של הקורבן לקישור זדוני מורידה אליו ארכיון ZIP המכיל קובץ MSI דחוס אשר מתקין את AteraAgent – תוכנת ניהול מרחוק שבדרך כלל מנוצלת לרעה על ידי TA450. הודעות דוא"ל מכתובת אימייל שנפרצה בחברת שירותים פיננסיים כללו קישור לספקית אירוח הענן Onehub. קישור זה הפנה את הקורבן לארכיון ZIP המכיל קובץ הפעלה לגיטימי עבור כלי הניהול מרחוק Syncro. "בעוד ש- Syncro הוא כלי לגיטימי לניהול מרחוק המשמש בעסקים, בהקשר זה, לאחר התקנה על מארח היעד, יכלו ההאקרים האיראניים להשתמש בכלי הניהול מרחוק כמו טרויאני גישה מרחוק ולבצע פעילויות חדירה נוספות", אמרו חוקרי Proofpoint. ההאקרים האיראניים השתמשו בעבר ב- DLL בטעינת צד כדי להערים על תוכנות לגיטימיות להפעיל נוזקות ולערפל סקריפטים של PowerShell כדי להסתיר פונקציות פקודה ושליטה.
חוקרי Proofpoint מייחסים את מתקפת הסייבר ל- TA450 בהתבסס על ניתוח הטקטיקות, הטכניקות והנהלים של הקבוצה, כמו גם דפוסי המיקוד והנוזקות בהן השתמשו. פיקוד הסייבר של ארה"ב טוען שקבוצת הסייבר האיראנית הזו פעילה מאז 2017 והיא קשורה למשרד המודיעין והביטחון של איראן. TA450 מקושרת למתקפות ריגול נגד יעדים בעלי ערך גבוה בצפון אמריקה, אירופה ואסיה. מתקפת הסייבר האחרונה מדגימה את הטקטיקות המתפתחות של TA450. אמנם לא המקרה הראשון של שימוש בקבצים מצורפים בעלי קישורים זדוניים, אולם זו הייתה הפעם הראשונה בה ניסתה הקבוצה לספק כתובת URL זדונית בתוך קובץ PDF.
