Търсене
Close this search box.

Извършителят, известен като BackdoorDiplomacy, е свързан с нова вълна от атаки, насочени към ирански правителствени структури, в периода между юли и края на декември 2022г.

Отделение 42 на Palo Alto Networks, което проследява дейността на групата под  тематичен  псевдоним Playful Taurus, заяви, че е забелязало правителствени домейни, които се опитват да се свържат с инфраструктура за зловреден софтуер, идентифицирана преди това като свързана с противника.

Известна също с имената APT15, KeChang, NICKEL и Vixen Panda, китайската APT група има история на кампании за кибершпионаж, насочени към правителствени и дипломатически структури в Северна Америка, Южна Америка, Африка и Близкия изток поне от 2010г. насам.

През юни 2021г. словашката фирма за киберсигурност ESET разкри проникванията, организирани от хакерски екип срещу дипломатически структури и телекомуникационни компании в Африка и Близкия изток, като използва персонализиран имплант, известен като Turian.

След това, през декември 2021г., Microsoft обяви изземването на 42 домейна, управлявани от групата в нейните атаки, насочени към 29 държави, като същевременно посочи използването на експлойти срещу непоправени системи за компрометиране на уеб приложения, насочени към интернет, като Microsoft Exchange и SharePoint.

За последно  беше приписана атака срещу неназована телекомуникационна компания в Близкия изток, използваща Quarian, предшественик на Turian, който позволява точка за отдалечен достъп до целеви мрежи.

Turian „продължава да се разработва активно и ние преценяваме, че се използва изключително от  Playful Taurus“, заяви Unit 42 в доклад, споделен с The Hacker News, като добави, че е открил нови варианти на задната врата, използвани в атаки, насочени срещу Иран.

Компанията за киберсигурност отбеляза още, че е наблюдавала четири различни ирански организации, включително Министерството на външните работи и Организацията за природни ресурси, да достигат до известен сървър за командване и контрол (C2), приписван на групата.

„Устойчивият ежедневен характер на тези връзки към контролираната от Playful Taurus инфраструктура предполага вероятно компрометиране на тези мрежи“, заяви компанията.

Новите версии на задната врата на Turian са с допълнително замаскиране, както и с актуализиран алгоритъм за декриптиране, използван за извличане на C2 сървърите. Въпреки това зловредният софтуер сам по себе си е общ, тъй като предлага основни функции за актуализиране на C2 сървъра, за да се свърже с него, да изпълнява команди и да поражда обратни действия.

Твърди се, че интересът на BackdoorDiplomacy да се насочи към Иран има геополитическо продължение, тъй като идва на фона на 25-годишното всеобхватно споразумение за сътрудничество, подписано между Китай и Иран за насърчаване на икономическото и военното сътрудничество и сътрудничеството в областта на сигурността.

„Playful Taurus продължава да развива тактиката и инструментите си“, казват изследователите от Unit 42. „Неотдавнашните подобрения на задната врата на Turian и новата инфраструктура C2 предполагат, че тези участници продължават да имат успех по време на кампаниите си за кибершпионаж.“

Източник: The Hacker News

Подобни публикации

9 декември 2024

QNAP поправя уязвимостите, експлоатирани в Pwn2Own

През уикенда тайванската компания QNAP Systems обяви кръпки за множ...
9 декември 2024

Производител на медицински изделия претърпя ата...

В понеделник компанията за медицинска апаратура Artivion оповести а...
9 декември 2024

ЕС отправя спешно запитване към TikTok

Европейският съюз съобщи в петък, че е изпратил на TikTok спешно ис...
9 декември 2024

QR кодовете заобикалят изолацията на браузъра

Mandiant е идентифицирала нов метод за заобикаляне на технологията ...
9 декември 2024

SonicWall поправя 6 уязвимости в Secure Access ...

В края на миналата седмица SonicWall обяви пачове за множество уязв...
8 декември 2024

Тексаски тийнейджър е арестуван за хакове на те...

Преследването на членовете на Scattered Spider, киберпрестъпната гр...
8 декември 2024

Off topic: Не яжте!

Хората, които си купуват нови електронни устройства, имат една пост...
8 декември 2024

„Стачка“ на роботи поражда опасения за сигурността

Тест в Шанхай разкрива способността на робот с изкуствен интелект д...
7 декември 2024

Компрометирана е библиотеката за изкуствен инте...

При поредната атака по веригата за доставки на софтуер стана ясно, ...
Бъдете социални
Още по темата
09/12/2024

ЕС отправя спешно запитване...

Европейският съюз съобщи в петък, че...
05/12/2024

Шпиониране на шпиони

Според изследване, публикувано в сряда от...
03/12/2024

Социален инженеринг и шпион...

  Група български граждани, обвинени в...
Последно добавени
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
09/12/2024

ЕС отправя спешно запитване...

Европейският съюз съобщи в петък, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!