Израильские СМИ сообщают, что 4 августа израильтяне получили на свои электронные ящики тревожные письма, которые якобы содержат “рекомендации по безопасности граждан” от Армии обороны Израиля (ЦАХАЛ).
Письма, написанные на английском языке, содержали ссылку на “важные материалы”, но на самом деле это была фишинговая атака, направленная на кражу данных. Ссылка предназначена для загрузки с облачного хранилища ZIP-архива, который и доставляет вредоносное ПО для удаленного захвата устройства.
Пример фишингового письма (слева) и зараженный архив (справа)
Израиль приписал атаку иранской правительственной группировке MuddyWater, которая активизировалась после ликвидации лидера ХАМАС Исмаила Хании в Тегеране 31 июля, что усилило напряженность в Израиле.
После устранения Хании иранские хакеры начали активные фишинговые атаки на израильские компании. Однако поспешные действия злоумышленников сделали кампанию легко узнаваемой: письма на английском, повторно используемая инфраструктура и методы, которые ранее уже были раскрыты, позволили израильским спецслужбам быстро выявить источник угрозы.
Основная цель кампании – вызвать у израильтян чувство страха и неуверенности, заставить их нажимать на вредоносные ссылки. Хакеры воспользовались естественным человеческим желанием защитить себя и своих близких, чтобы проникнуть в электронные устройства и украсть конфиденциальные данные. Таким образом, помимо самой кибератаки, кампания направлена на дестабилизацию психологического состояния граждан Израиля. Израильское правительство ранее выпустило предупреждение о фишинговых атаках Muddywater в июне текущего года.
Киберпреступники из MuddyWater часто проводят фишинговые кампании через скомпрометированные корпоративные почтовые аккаунты, что приводит к установке легитимных инструментов удалённого управления, таких как Atera Agent и Screen Connect. Кроме того, в последнее время хакеры начали использовать новый бэкдор BugSleep, предназначенный для атак на израильские организации.