Иранские киберпреступники создали новый вайпер для таргетированных атак

Иранские киберпреступники создали новый вайпер для таргетированных атак

Иранские правительственные хакеры разработали новое семейство вредоносных программ, предназначенное для атак на промышленный и энергетический секторы. Об этом предупредили специалисты компании IBM.

По словам аналитиков, за последними атаками стоят две группировки, одна из которых — APT34, а другую точно идентифицировать не удалось (известно, что она также действует из Ирана).

В этот раз злоумышленники выбрали себе в качестве цели объекты на Среднем Востоке. Конкретные имена изучавшие кибероперацию эксперты не привели.

Группировка APT34 в этом году было довольно активна. Например, именно с этими киберпреступниками связывают фишинговые атаки через деловую социальную сеть LinkedIn.

Что касается другой группы, участвовавшей в последних атаках, у исследователей есть основания считать, что это APT33 — наиболее известная иранская правительственная группировка.

APT33 стояла за кампаниями, в ходе которых использовался эксплойт для Microsoft Outlook, а также атаковала нефтяную и газовую отрасли в США.

IBM предупреждает, что в недавних операациях две группы использовали программу вайпер. Специалисты назвали её «ZeroCleare». Водоносы такого класса преследуют лишь одну цель — уничтожить всю информацию жертвы, не оставив возможность восстановления.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

ФБР обвинило российских хакеров во взломе государственных сетей США

Власти США обвинили киберпреступную группировку, якобы спонсируемую Кремлём, во взломе государственных сетей Америки. Вопрос доказательств, как это обычно бывает, выглядит весьма размытым.

Информацию о вторжении российских хакеров опубликовали Агентство кибербезопасности и защиты инфраструктуры (CISA) США и ФБР.

По словам западных спецслужб, за кибероперацией стоит группировка Energetic Bear, которая также известна сообществу под именами TEMP.Isotope, Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti и Koala.

В Вашингтоне отметили, что Energetic Bear атакует множество государственных сетей как минимум с февраля 2020 года. Также, по словам ФБР, группа не обошла стороной организации из сферы авиации.

В ходе последних атак Energetic Bear удалось «успешно взломать сетевую инфраструктуру» и извлечь данные по меньшей мере с двух серверов. Ранее ФБР и CISA уже описывали кибератаки на госструктуры, называя в качестве виновников успешной операции уязвимости в Windows и VPN. Сейчас же спецслужбы рассказали о продолжении этой же кампании.

Согласно описанию, российские хакеры использовали всем известные уязвимости для взлома сетевого оборудования. После этого баги помогли им повысить права и выкрасть конфиденциальные данные.

Речь идёт об уязвимостях в шлюзах Citrix (CVE-2019-19781), почтовых серверах Microsoft Exchange (CVE-2020-0688), Exim (CVE 2019-10149) и Fortinet SSL VPN (CVE-2018-13379).

Для латерального передвижения по сети злоумышленники использовали знаменитую брешь Zerologon, потом извлекали учётные данные Windows Active Directory (AD) и использовали их для изучения сети.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru