Иранские хакеры проникают в сети компаний, обслуживающих инфраструктуры

Иранские хакеры проникают в сети компаний, обслуживающих инфраструктуры

Спецслужбы уже давно проявляют большой интерес к хакерской деятельности Ирана. Опубликованное в четверг фирмой FireEye исследование указывает на то, что страна продолжает такую деятельность. Более того, новая группа, которой FireEye дала имя Advanced Persistent Threat 34 (APT 34), последние несколько лет все глубже погружалась в сети компаний, обслуживающих инфраструктуру.

Учитывая то, насколько агрессивно Иран занимался взломом, ориентируясь на финансовый сектор, результаты нового исследования служат предупреждением и подчеркивают меняющийся характер угрозы.

В период с 2015 года по середину 2017 года исследователи FireEye наблюдали 34 атаки APT 34 на учреждения в семи странах Ближнего Востока. Вероятнее всего, киберпреступники нацелены на финансовые, энергетические и телекоммуникационные компании.

FireEye уверена, что злоумышленники из Ирана, так как они регистрируются в виртуальных частных сетях с иранских IP-адресов.

Эксперты говорят, что пока нет доказательств того, что группа APT 34 имеет отношение к APT 33, другой иранской группе киберпреступников, распространяющих вредоносные программы.

«Мы наблюдали довольно агрессивные атаки иранских хакеров на компании, обслуживающие критически важные инфраструктуры. Были атакованы организации на Ближнем Востоке, это, очевидно, представляет собой некую форму сбора разведывательных данных», — говорит Джон Халткуист (John Hultquist), директор разведывательного отдела в FireEye.

Также специалисты FireEye отметили, что группа киберпреступников, как правило, компрометирует чью-то учетную запись электронной почты в целевой компании, что позволяет загрузить на компьютер сотрудника вредоносную программу, а потом проникнуть в сеть организации.

APT 34 использует вредоносные макросы Excel и эксплойты на основе PowerShell, чтобы перемещаться внутри сетей. Группа также имеет довольно обширную деятельность в социальных сетях, а также использует социальную инженерию.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Разбор атак watering hole выявил новый бэкдор для macOS

Минувшей осенью эксперты ESET выявили кампанию кибершпионажа, направленную против участников демократического движения в Гонконге. Авторы атак использовали метод watering hole для раздачи через эксплойт незадокументированного macOS-зловреда — бэкдор, которому было присвоено кодовое имя DazzleSpy.

С этой целью злоумышленники взломали сайт гонконгской радиостанции D100 и внедрили на его страницы фреймы, загружающие эксплойт CVE-2021-1789. Соответствующая уязвимость в движке WebKit была закрыта в феврале 2021 года.

В результате отработки вредоносного кода на машине жертвы запускался промежуточный бинарник Mach-O — исполняемый в памяти простейший загрузчик. Этот зловред скачивает с указанного адреса целевую полезную нагрузку и запускает ее с правами root, используя эксплойт CVE-2021-30869 (устранена в сентябре).

Анализ DazzleSpy показал, что бэкдор обладает богатым набором функций и способен совершать следующие действия:

  • собирать информацию о зараженной системе;
  • выполнять произвольные шелл-команды;
  • составлять списки содержимого папок, проводить поиск файлов, переименовывать их, переносить и сливать на сторону;
  • открывать и завершать сессию screen (удаленного админа);
  • выводить данные из памяти iCloud Keychain с помощью эксплойта CVE-2019-8526 (актуален для macOS версий ниже 10.14.4);
  • удалять себя с компьютера.

Координаты C2-сервера DazzleSpy (IP-адрес и порт) жестко прописаны в коде. При установке связи вредонос использует TLS-хэндшейк, а затем кастомный протокол для обмена данными.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru