Търсене
Close this search box.

Microsoft съобщава, че група хакери, подкрепяни от Иран, се насочват към високопоставени служители на изследователски организации и университети в Европа и САЩ чрез spearphishing атаки, при които прокарват нов зловреден софтуер със задна врата.

Нападателите, подгрупа на известната иранска кибершпионска група APT35 (известна още като Charming Kitten и Phosphorus), свързана с Корпуса на гвардейците на ислямската революция (КГИР), изпращат специално пригодени и трудни за откриване фишинг имейли чрез предварително компрометирани акаунти.

„От ноември 2023 г. Microsoft наблюдава отделна подгрупа на Mint Sandstorm (PHOSPHORUS), насочена към високопоставени лица, работещи по въпросите на Близкия изток в университети и изследователски организации в Белгия, Франция, Газа, Израел, Обединеното кралство и САЩ“, заяви Microsoft.

„В тази кампания Mint Sandstorm използваше специално подготвени фишинг примамки в опит да накара целите да изтеглят чрез социално инженерство злонамерени файлове. В няколко случая Майкрософт наблюдаваше нови похвати след проникването, включително използването на нова, персонализирана задна врата, наречена MediaPl.“

Зловредният софтуер MediaPl използва криптирани комуникационни канали за обмен на информация със своя сървър за командване и контрол (C2) и е проектиран да се маскира като Windows Media Player, за да избегне откриване.

Комуникациите между MediaPl и неговия C2 сървър използват AES CBC криптиране и Base64 кодиране, а вариантът, открит в компрометираните устройства, е снабден с възможност за автоматично прекратяване, временно спиране, повторно опитване на C2 комуникациите и изпълнение на C2 команди с помощта на функцията _popen.

Втори злонамерен софтуер, базиран на PowerShell, известен като MischiefTut, спомага за пускането на допълнителни зловредни инструменти и осигурява възможности за разузнаване, като позволява на  заплахата да изпълнявакоманди на хакнатите системи и да изпраща изходните данни на контролирани от нападателя сървъри.

Ongoing APT35 campaign attack chain

Верига от атаки зад настоящата кампания на APT35 (Microsoft)

 

Тази подгрупа на APT35 се фокусира върху атаките и кражбата на чувствителни данни от пробитите системи на цели с висока стойност. Тя е известна с това, че преди това се е насочвала към изследователи, професори, журналисти и други лица, които имат познания по въпроси на сигурността и политиката, съответстващи на иранските интереси.

„Тези лица, които работят с разузнавателните и политическите общности или имат потенциал да им влияят, са привлекателни цели за противниците, които се стремят да събират разузнавателна информация за държавите, които спонсорират тяхната дейност, като например Ислямска република Иран“, казват от Microsoft.

„Въз основа на самоличността на целите, наблюдавани в тази кампания, и използването на примамки, свързани с войната между Израел и Хамас, е възможно тази кампания да е опит за събиране на гледни точки за събитията, свързани с войната, от лица от целия идеологически спектър.“

В периода между март 2021 г. и юни 2022 г. APT35 е заобиколила най-малко 34 компании с неизвестен досега зловреден софтуер на спонсори в кампания, насочена към правителствени и здравни организации, както и към фирми от сферата на финансовите услуги, инженерството, производството, технологиите, правото, телекомуникациите и други промишлени сектори.

Иранската хакерска група също така използва невиждан досега злонамерен софтуер NokNok при атаки срещу системи с MacOS – друга задна вратичка, предназначена за събиране, криптиране и екфилтриране на данни от компрометирани Mac компютри.

Друга иранска група за заплахи, проследявана като APT33 (известна още като Refined Kitten или Holmium), пробива отбранителни организации в обширни атаки със спрейове за пароли, насочени към хиляди орг. по света от февруари 2023 г. насам, а наскоро беше забелязана и в опит да пробие отбранителни контрактори с нов зловреден софтуер FalseFont.

 

 

 

Източник: e-security.bg

Подобни публикации

11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
Бъдете социални
Още по темата
09/10/2024

Microsoft потвърждава експл...

Във вторник Microsoft издаде спешно предупреждение...
07/10/2024

Google Pay със случайни име...

Тази седмица потребителите бяха разтревожени от...
07/10/2024

MoneyGram: Няма доказателст...

Платформата за разплащания MoneyGram заявява, че...
Последно добавени
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!