Търсене
Close this search box.

Microsoft: Ирански хакери се насочват към изследователи с нов зловреден софтуер MediaPl

Microsoft съобщава, че група хакери, подкрепяни от Иран, се насочват към високопоставени служители на изследователски организации и университети в Европа и САЩ чрез spearphishing атаки, при които прокарват нов зловреден софтуер със задна врата.

Нападателите, подгрупа на известната иранска кибершпионска група APT35 (известна още като Charming Kitten и Phosphorus), свързана с Корпуса на гвардейците на ислямската революция (КГИР), изпращат специално пригодени и трудни за откриване фишинг имейли чрез предварително компрометирани акаунти.

„От ноември 2023 г. Microsoft наблюдава отделна подгрупа на Mint Sandstorm (PHOSPHORUS), насочена към високопоставени лица, работещи по въпросите на Близкия изток в университети и изследователски организации в Белгия, Франция, Газа, Израел, Обединеното кралство и САЩ“, заяви Microsoft.

„В тази кампания Mint Sandstorm използваше специално подготвени фишинг примамки в опит да накара целите да изтеглят чрез социално инженерство злонамерени файлове. В няколко случая Майкрософт наблюдаваше нови похвати след проникването, включително използването на нова, персонализирана задна врата, наречена MediaPl.“

Зловредният софтуер MediaPl използва криптирани комуникационни канали за обмен на информация със своя сървър за командване и контрол (C2) и е проектиран да се маскира като Windows Media Player, за да избегне откриване.

Комуникациите между MediaPl и неговия C2 сървър използват AES CBC криптиране и Base64 кодиране, а вариантът, открит в компрометираните устройства, е снабден с възможност за автоматично прекратяване, временно спиране, повторно опитване на C2 комуникациите и изпълнение на C2 команди с помощта на функцията _popen.

Втори злонамерен софтуер, базиран на PowerShell, известен като MischiefTut, спомага за пускането на допълнителни зловредни инструменти и осигурява възможности за разузнаване, като позволява на  заплахата да изпълнявакоманди на хакнатите системи и да изпраща изходните данни на контролирани от нападателя сървъри.

Ongoing APT35 campaign attack chain

Верига от атаки зад настоящата кампания на APT35 (Microsoft)

 

Тази подгрупа на APT35 се фокусира върху атаките и кражбата на чувствителни данни от пробитите системи на цели с висока стойност. Тя е известна с това, че преди това се е насочвала към изследователи, професори, журналисти и други лица, които имат познания по въпроси на сигурността и политиката, съответстващи на иранските интереси.

„Тези лица, които работят с разузнавателните и политическите общности или имат потенциал да им влияят, са привлекателни цели за противниците, които се стремят да събират разузнавателна информация за държавите, които спонсорират тяхната дейност, като например Ислямска република Иран“, казват от Microsoft.

„Въз основа на самоличността на целите, наблюдавани в тази кампания, и използването на примамки, свързани с войната между Израел и Хамас, е възможно тази кампания да е опит за събиране на гледни точки за събитията, свързани с войната, от лица от целия идеологически спектър.“

В периода между март 2021 г. и юни 2022 г. APT35 е заобиколила най-малко 34 компании с неизвестен досега зловреден софтуер на спонсори в кампания, насочена към правителствени и здравни организации, както и към фирми от сферата на финансовите услуги, инженерството, производството, технологиите, правото, телекомуникациите и други промишлени сектори.

Иранската хакерска група също така използва невиждан досега злонамерен софтуер NokNok при атаки срещу системи с MacOS – друга задна вратичка, предназначена за събиране, криптиране и екфилтриране на данни от компрометирани Mac компютри.

Друга иранска група за заплахи, проследявана като APT33 (известна още като Refined Kitten или Holmium), пробива отбранителни организации в обширни атаки със спрейове за пароли, насочени към хиляди орг. по света от февруари 2023 г. насам, а наскоро беше забелязана и в опит да пробие отбранителни контрактори с нов зловреден софтуер FalseFont.

 

 

 

Източник: e-security.bg

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
12 април 2024

Magecart са пионери в областта на устойчивата з...

Печално известната киберпрестъпна организация, занимаваща се със ск...
11 април 2024

CISA нарежда на агенциите, засегнати от хакерск...

CISA издаде нова спешна директива, с която нарежда на федералните а...
Бъдете социални
Още по темата
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
13/04/2024

На федералните агенции на С...

В четвъртък Агенцията за киберсигурност и...
11/04/2024

CISA нарежда на агенциите, ...

CISA издаде нова спешна директива, с...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!