Государственные хакеры Ирана используют обновленное вредоносное ПО для атак на интернет-провайдеров и телекоммуникационные компании

27
Фишинговые компании начали использовать вариант Omicron COVID-19

Поддерживаемый государством Иран APT, известный как Lyceum (Hexane, Spilrin), был нацелен на интернет-провайдеров и поставщиков телекоммуникационных услуг на Ближнем Востоке и в Африке в период с июля по октябрь 2021 года.

Помимо Израиля, который постоянно находится под прицелом иранских хакеров, исследователи заметили атаки бэкдора Lyceum в Марокко, Тунисе и Саудовской Аравии.

В последней кампании, проанализированной в совместном отчете исследователей Accenture и Prevailion, Lyceum использует два разных семейства вредоносных программ, получивших название Shark и Milan.

Бэкдор Shark — это 32-разрядный исполняемый файл, написанный на C # и .NET, используемый для выполнения команд и извлечения данных из зараженных систем.

Milan — это 32-разрядный троян удаленного доступа (RAT), который может извлекать данные из скомпрометированной системы и передавать их на хосты, полученные с помощью алгоритмов генерации доменов (DGA).

Оба бэкдора обмениваются данными через DNS и HTTPS со своими серверами управления и контроля (C2), при этом Shark также использует DNS-туннелирование.

Согласно техническому анализу, который выявил постоянное обновление маяков и полезной нагрузки, Lyceum, похоже, наблюдает за исследователями, которые анализируют свои вредоносные программы, чтобы обновить свой код и опередить защитные механизмы.

Самая последняя дата сборки — октябрь 2021 года, и исследователи отмечают, что по крайней мере два из выявленных компромиссов продолжаются.

Аналитикам удалось нанести на карту жертв Лицея, аннексировав двадцать доменов актера и проанализировав данные телеметрии, не снимая их.

В итоговом отчете представлен новый список с индикаторами взлома (IoC) и несколькими способами обнаружения двух бэкдоров, поэтому он может помешать текущей кампании Lyceum.

Политически мотивированный

Считается, что конкретная группа хакеров политически мотивирована и заинтересована исключительно в кибершпионаже, а не в нарушении работы своих целей.

Вот почему они сосредотачиваются на вторжениях в сети интернет-провайдеров, поскольку компрометация поставщиков услуг высокого уровня — отличный способ собрать ценную информацию о зарубежных странах.

«Неизвестно, исходят ли миланские бэкдоры-маяки от клиента марокканского оператора связи или от внутренних систем оператора», — поясняется в совместном отчете Accenture и Prevailion.

«Однако, поскольку Lyceum исторически нацелился на поставщиков телекоммуникационных услуг, а команда Касперского выявила недавние нападения на операторов связи в Тунисе, из этого следует, что Lyceum нацелен на другие телекоммуникационные компании Северной Африки».

Хотя Иран традиционно занимал враждебную позицию по отношению к Израилю, Саудовской Аравии и Марокко, включение Туниса в виктимологию, по-видимому, трудно оправдать , так что это интересная находка.

Наконец, типы жертв и сроки действий соответствуют таковым из операции GhostShell , раскрытой в прошлом месяце Cybereason.

Несмотря на то, что кампания GhostShell, скорее всего, была организована новым противником APT, у нее все еще были связи с известными иранскими группами APT, такими как Lyceum.

Предыдущая статьяTor Browser 11 удаляет поддержку URL-адреса V2 Onion, добавляет новый пользовательский интерфейс
Следующая статьяMozilla Firefox, первая альтернатива Chromium в Магазине Windows

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here