Microsoft съобщава, че група хакери, подкрепяни от Иран, се насочват към високопоставени служители на изследователски организации и университети в Европа и САЩ чрез spearphishing атаки, при които прокарват нов зловреден софтуер със задна врата.
Нападателите, подгрупа на известната иранска кибершпионска група APT35 (известна още като Charming Kitten и Phosphorus), свързана с Корпуса на гвардейците на ислямската революция (КГИР), изпращат специално пригодени и трудни за откриване фишинг имейли чрез предварително компрометирани акаунти.
„От ноември 2023 г. Microsoft наблюдава отделна подгрупа на Mint Sandstorm (PHOSPHORUS), насочена към високопоставени лица, работещи по въпросите на Близкия изток в университети и изследователски организации в Белгия, Франция, Газа, Израел, Обединеното кралство и САЩ“, заяви Microsoft.
„В тази кампания Mint Sandstorm използваше специално подготвени фишинг примамки в опит да накара целите да изтеглят чрез социално инженерство злонамерени файлове. В няколко случая Майкрософт наблюдаваше нови похвати след проникването, включително използването на нова, персонализирана задна врата, наречена MediaPl.“
Зловредният софтуер MediaPl използва криптирани комуникационни канали за обмен на информация със своя сървър за командване и контрол (C2) и е проектиран да се маскира като Windows Media Player, за да избегне откриване.
Комуникациите между MediaPl и неговия C2 сървър използват AES CBC криптиране и Base64 кодиране, а вариантът, открит в компрометираните устройства, е снабден с възможност за автоматично прекратяване, временно спиране, повторно опитване на C2 комуникациите и изпълнение на C2 команди с помощта на функцията _popen.
Втори злонамерен софтуер, базиран на PowerShell, известен като MischiefTut, спомага за пускането на допълнителни зловредни инструменти и осигурява възможности за разузнаване, като позволява на заплахата да изпълнявакоманди на хакнатите системи и да изпраща изходните данни на контролирани от нападателя сървъри.
Верига от атаки зад настоящата кампания на APT35 (Microsoft)
Тази подгрупа на APT35 се фокусира върху атаките и кражбата на чувствителни данни от пробитите системи на цели с висока стойност. Тя е известна с това, че преди това се е насочвала към изследователи, професори, журналисти и други лица, които имат познания по въпроси на сигурността и политиката, съответстващи на иранските интереси.
„Тези лица, които работят с разузнавателните и политическите общности или имат потенциал да им влияят, са привлекателни цели за противниците, които се стремят да събират разузнавателна информация за държавите, които спонсорират тяхната дейност, като например Ислямска република Иран“, казват от Microsoft.
„Въз основа на самоличността на целите, наблюдавани в тази кампания, и използването на примамки, свързани с войната между Израел и Хамас, е възможно тази кампания да е опит за събиране на гледни точки за събитията, свързани с войната, от лица от целия идеологически спектър.“
В периода между март 2021 г. и юни 2022 г. APT35 е заобиколила най-малко 34 компании с неизвестен досега зловреден софтуер на спонсори в кампания, насочена към правителствени и здравни организации, както и към фирми от сферата на финансовите услуги, инженерството, производството, технологиите, правото, телекомуникациите и други промишлени сектори.
Иранската хакерска група също така използва невиждан досега злонамерен софтуер NokNok при атаки срещу системи с MacOS – друга задна вратичка, предназначена за събиране, криптиране и екфилтриране на данни от компрометирани Mac компютри.
Друга иранска група за заплахи, проследявана като APT33 (известна още като Refined Kitten или Holmium), пробива отбранителни организации в обширни атаки със спрейове за пароли, насочени към хиляди орг. по света от февруари 2023 г. насам, а наскоро беше забелязана и в опит да пробие отбранителни контрактори с нов зловреден софтуер FalseFont.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.