Группа хакеров APT33, по словам FireEye, связана с правительством Ирана

Группа хакеров APT33, по словам FireEye, связана с правительством Ирана

Группа хакеров APT33, по словам FireEye, связана с правительством Ирана

Кибер-шпионская группа, атакующая аэрокосмические и энергетические организации в Соединенных Штатах, Саудовской Аравии и Южной Корее, как заявили исследователи, связана с иранским правительством.

Считается, что эта хакерская группа, известная как APT33, существует с 2013 года. В середине 2016 года эксперты обнаружили атаки этой группы на авиационный сектор, включая военную и коммерческую авиацию, а также энергетические компании, связанные с нефтехимическим производством.

В частности, хакеры ориентировались на американскую аэрокосмическую организацию, бизнес-конгломерат Саудовской Аравии с авиационными холдингами и южнокорейскую фирму, занимающуюся нефтепереработкой.

«Мы считаем, что APT33 стремиться получить информацию о возможностях военной авиации Саудовской Аравии, она действует в интересах Ирана. Возможно, это попытка получить представление о региональных конкурентах, в то время как атака на южнокорейские компании может быть связана с недавними партнерскими отношениями Южной Кореи с нефтехимической промышленностью Ирана, а также с отношениями Южной Кореи с саудовскими нефтехимическими компаниями» - утверждается в блоге FireEye.

По данным FireEye, в прошлом году эта кибер-шпионская группа отправила сотни фишинговых писем. Хакеры создали несколько доменов, которые выглядели так, как если бы они принадлежали саудовским авиационным фирмам и международным организациям, работающим с ними, включая авиационную компании Alsalam Aircraft Company, Boeing и Northrop Grumman Aviation Arabia.

Вредоносная программа, используемая хакерами, включает в себя дроппер, детектируемый FireEye как DROPSHOT, зловред, удаляющий данные, SHAPESHIFT, и бэкдор под названием TURNEDUP. DROPSHOT был ранее проанализирован Лабораторией Касперского, который отслеживает его как StoneDrill.

Как Лабораторией Касперского, так и FireEye сошлись во мнении, что группа APT33 связана с правительством Ирана.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru