伊朗駭客MuddyWater採用外流的電子郵件帳號發動網釣攻擊，透過遠端管理工具控制受害電腦

伊朗恐怖組織哈馬斯週末對以色列發空襲，300架自殺式無人機、巡弋飛彈、彈道飛彈從伊朗發射，襲擊耶路撒冷，以及以色列南部尼格夫沙漠、北部的戈蘭高地，但在此之前，伊朗駭客也增加對以色列企業組織的網路攻擊強度。

根據資安業者Proofpoint對於伊朗駭客組織MuddyWater的攻擊行動揭露的細節，另一家資安業者Deep Instinct進一步分析，發現這些駭客濫用被駭的以色列公司電子郵件系統，寄送帶有PDF附件的郵件，這些PDF檔案含有Dropbox、OneDrive、Egnyte等雲端服務的連結，但其中一個新網域是過往這組人馬未曾使用，而引起Deep Instinct的研究人員注意。

他們對此進行分析，發現這個網域疑似與以色列高等教育機構有關，經調查MuddyWater透過外流的電子郵件帳號，將相關連結傳送至salary.egnyte[.]com，當中有與kinneretacil.egnyte[.]com相關的連結，研究人員推測，對方很可能利用Kinneret的電子郵件帳號來散布連結，或是透過獎學金的名義攻擊教育機構，誘騙收信人依照指示安裝遠端管理工具Atera，從而對其電腦進行控制。

研究人員發現，這些駭客採用了新的攻擊框架DarkBeatC2，用於架設Tactical RMM的管理控制臺，很有可能藉此對受害電腦部署勒索軟體。

從攻擊者使用的網路釣魚攻擊來看，手法並未出現太多特殊之處，不只誘餌是相當常見的PDF檔案，部分濫用的雲端服務雖然在臺灣多數人並不熟悉，但與先前該組織的攻擊行動所採用的幾乎相同。至於最終用來控制受害電腦的合法遠端管理軟體Atera，也曾在多起攻擊行動出現。但值得留意的是，這些駭客借助其他駭客軟體供應鏈攻擊成果，從而製造來源看似可信的釣魚信。

研究人員提及，上述提及對方針對的教育機構，是以色列軟體業者Rashim的客戶，而另一個組織Lord Nemesis曾對該公司下手，發動供應鏈攻擊，而很有可能取得這些教育機構的相關資料，並提供MuddyWater運用。由於該組人馬是另一個伊斯蘭革命衛隊（IRGC）資助的駭客組織Mint Sandstorm的旗下團體。換言之，這起攻擊行動應該與伊朗當局有所關連。