伊朗駭客MuddyWater攻擊韓國電子製造商，濫用SentinelOne元件側載DLL檔案

研究人員特別提及，這些駭客今年2月曾入侵一家韓國大型電子製造商，並在其網路環境活動長達一週，在2月20日，研究人員發現駭客下達一連串PowerShell指令進行偵察，但令他們意外的是，PowerShell處理程序竟透過Node.js的執行環境node.exe執行，代表受害主機在此之前可能已執行Node.js指令碼，而並非駭客手動操作的活動。不過，對於駭客如何入侵受害主機，以及植入node.exe的途徑，博通表示不清楚。

後續MuddyWater使用curl下載其他作案工具，然後使用sentinelmemoryscanner.exe與fmapp.exe載入惡意DLL檔案，但值得留意的是，兩個DLL亦透過node.exe載入並執行，這也符合前述駭客非手動操作的特徵。後續他們試圖挖掘本機的NTLM密碼雜湊值，進行橫向移動，然後將竊得資料透過sendit[.]sh對外傳輸，最後一次活動出現在2月27日。