Търсене
Close this search box.

Mandiant  проучи операциите на UNC1860 – ирански APT, който действа като първоначален доставчик на достъп до високопоставени мрежи в Близкия изток. Според Mandiant  UNC1860 е опортюнистична, спонсорирана от държавата хакерска група, насочена към правителствени и телекомуникационни структури в Близкия изток, и има сходства с други заплахи, свързани с Иран, и изглежда е свързана с иранското Министерство на разузнаването и сигурността (MOIS).

Арсеналът на групата включва специализирани инструменти като контролери за зловреден софтуер с графичен потребителски интерфейс, наречени TemplePlay и ViroGreen, които дават възможност на други групи да осъществяват отдалечен достъп до мрежите на жертвите чрез RDP и да контролират предварително инсталиран зловреден софтуер, казва Mandiant в нов доклад.

Ролята на UNC1860 за първоначален достъп се подсилва и от наблюдаваната дейност, приписвана на заподозрени групи от APT34 в мрежите на жертвите на UNC1860. „UNC1860 получава първоначален достъп до средите на жертвите по опортюнистичен начин чрез експлоатиране на уязвими сървъри, насочени към интернет, което води до разгръщане на уеб обвивка. След като се сдобие с първоначална опора, групата обикновено разгръща допълнителни комунални услуги и селективен набор от пасивни импланти, които са проектирани така, че да бъдат по-невидими от обичайните задни врати“, казват изследователите от Mandiant. Заплахата оперира с комунални услуги и backdoors, предназначени да създадат силна опора в мрежата на жертвата и да поддържат дългосрочен достъп, включително драйвер в режим на ядрото на Windows, извлечен от легитимен филтър на ирански антивирусен софтуер.

Уеб обвивки и дропери на хакерската група, включително StayShante и SasheyAway, могат да се използват в операция за предаване, като в последните са вградени пълни пасивни задни врати, като TempleDoor, FaceFace и SparkLoad. TemplePlay, отбелязва Mandiant, е .NET-базиран контролер за пасивната задна врата TempleDoor, който може да се използва като междинна кутия за достъп до целеви сървър, който не е достъпен директно от интернет.

Потребителска рамка за експлоатиране на SharePoint сървъри, уязвими към CVE-2019-0604, контролерът ViroGreen предоставя възможности за последваща експлоатация, включително сканиране на уязвимости, контрол на полезния товар, внедряване на задна врата, изпълнение на команди и изтегляне/зареждане на файлове.

За да се промъкнат под радара, пасивните импланти на  заплахата не инициират изходящ трафик, не получават входящ трафик от нестабилни източници, не използват HTTPS за криптиране на трафика, не зареждат драйвери, без да предизвикват критични грешки, не използват недокументирани команди за управление на входно-изходните операции (имплантите Tofudrv и TofuLoad) и не имплементират помощна програма (TempleLock) за избягване на откриването (RotPipe и TempleDrop).

„Тези възможности показват, че UNC1860 е внушителен колектив, който вероятно поддържа различни цели, вариращи от шпионаж до операции за мрежови атаки. Тъй като напрежението в Близкия изток продължава да нараства, смятаме, че умението на този колектив да получава първоначален достъп до целеви среди представлява ценен актив за иранската кибернетична екосистема“, добавиха от Mandiant.

Източник: По материали от Интернет

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
Бъдете социални
Още по темата
02/10/2024

Севернокорейски хакери с пр...

Професионален хакерски екип, свързан със севернокорейското...
01/10/2024

Deepfake Дмитро Кулеба се с...

По-рано този месец сенатор Бен Кардин...
27/09/2024

Израелска група претендира ...

В сряда американската агенция за киберсигурност...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!