Иранская киберпреступная группа маскировалась под ИБ-компанию

Иранская киберпреступная группа маскировалась под ИБ-компанию

Иранская киберпреступная группа маскировалась под ИБ-компанию

Иранская группа кибершпионов пыталась замаскироваться под одну из ИБ-компаний, публикующую отчеты о вредоносных кампаниях. Идея была в том, чтобы атаковать целевым фишингом пользователей, интересующихся такими отчетами.

Эта APT-группа (advanced persistent threat, развитая устойчивая угроза) известна специалистам под следующими именами: Charming Kitten, Newscaster или Newsbeef.

Киберпреступники скопировали официальный сайт ИБ-компании ClearSky Security, который разместили по адресу clearskysecurity.net (официальный сайт ClearSky находится по адресу ClearSky.com).

«Charming Kitten создали фишинговый сайт, который маскируется под ресурс нашей компании. Они скопировали страницы нашего портала, немного изменив их», — заявили представители легитимной компании ClearSky.

На скриншоте видна измененная часть — функция входа с использованием других площадок.

«Все эти элементы входа буду отправлять ваши данные злоумышленникам. У нашего официального сайта отсутствуют такие возможности», — продолжает компания.

Эксперты полагают, что сайт все еще находится в разработке, так как некоторые страницы отдают ошибку. ClearSky Security считает, что злоумышленникам пока не удалось получить данные пользователей, так как сайт еще слишком сырой.

Charming Kitten представляет собой одну из первых киберпреступных групп Ирана. В последние годы Charming Kitten была крайне активна, она стояла за такими вредоносными кампаниями, как Saffron Rose, Newscaster, StoneDrill.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Фейковая рассылка от Belarusian Cyber-Partisans: угрозы атак на ЦБ и ФСИН

Компания F6 сообщила о массовой рассылке электронных писем от имени якобы группы Belarusian Cyber-Partisans. Письма получили компании из разных сфер — промышленности, ИТ, розничной торговли, туризма, строительства и банковского сектора. В письмах содержится требование освободить из СИЗО основателя Chronopay Павла Врублевского.

Напомним, Belarusian Cyber-Partisans вместе с группировкой Silent Crow взяли на себя ответственность за масштабную кибератаку на «Аэрофлот» 28 июля.

Сообщение подписано якобы самим Павлом Врублевским — основателем Chronopay, ранее осуждённым за организацию DDoS-атак на конкурентов. В 2022 году он был арестован по обвинению в мошенничестве в крупном размере и с тех пор находится в следственном изоляторе.

В письме выдвигается ультиматум: освободить Врублевского до 23 августа, в противном случае злоумышленники угрожают атаками на Банк России и ФСИН.

Как отмечают специалисты F6, мимикрия под хакерские группировки — как преступные, так и хактивистские — используется достаточно часто. Весной 2025 года, например, была зафиксирована фишинговая рассылка от имени якобы проукраинской группировки BO Team. Тогда злоумышленники утверждали, что получили контроль над инфраструктурой компаний и требовали выкуп в размере 2 тыс. долларов.

Скриншот письма от имени Belarusian Cyber-Partisans

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru