Microsoft предупреждает об эволюции шести иранских хакерских групп

15
Сделка Microsoft и Activision дает спекулянтам по слияниям новую любимицу

Центр Microsoft Threat Intelligence Center (MSTIC) представил на CyberWarCon 2021 анализ эволюции нескольких иранских субъектов угроз, и их результаты показывают, что атаки становятся все более изощренными.

С сентября 2020 года Microsoft отслеживает шесть иранских хакерских групп, развертывающих программы-вымогатели и вывозящих данные, чтобы вызвать сбои и разрушения для жертв.

Со временем эти хакерские группы превратились в компетентных злоумышленников, способных вести кибершпионаж, использовать многоплатформенные вредоносные программы, нарушать работу программ-вымогателей и программ-вымогателей, проводить фишинговые атаки и атаки с использованием паролей и даже настраивать сложные операции цепочки поставок.

Все эти группы используют программы-вымогатели для достижения своих целей, и их развертывание происходит волнообразно, обычно с интервалом от шести до восьми недель.

В этом году Microsoft наблюдала, как акторы сканируют множество уязвимостей, в том числе нацелены на Fortinet FortiOS SSL VPN, серверы Microsoft Exchange, уязвимые для ProxyShell, и многое другое.

Подсчитано, что только за счет сканирования непропатченных систем Fortinet VPN в этом году участники получили более 900 действительных учетных данных в текстовой форме.

Сбор учетных данных пациента

Еще одна тенденция, проявившаяся в прошлом году, — это повышенный уровень терпения и настойчивости в кампаниях социальной инженерии, что свидетельствует о наличии опытного актера.

Раньше такие актеры, как Phosphorus (Очаровательный котенок), рассылали нежелательные электронные письма с вредоносными ссылками и зашнурованными вложениями — массовая тактика, которая имела ограниченный успех .

Теперь Phosphorus следует по трудоемкому пути «приглашений на собеседование», метод, предложенный северокорейской хакерской группой «Lazarus».

Во время этих атак субъекты Phosphorus вызывают цели и проходят через них, нажимая на страницы сбора учетных данных как часть процесса интервью.

Новая группа, которая придерживается столь же терпеливой тактики, называется «Куриум», и аналитики Microsoft говорят, что этот актер использует обширную сеть поддельных учетных записей в социальных сетях, обычно маскирующихся под привлекательных женщин.

Они связываются с целями и через некоторое время устанавливают взаимопонимание, ежедневно болтают и завоевывают их доверие.

Затем в один прекрасный день они отправляют вредоносный документ, похожий на безобидные файлы, отправленные ранее, что приводит к скрытому удалению вредоносных программ.

Похожую тактику использовала хакерская группа, связанная с ХАМАС, которая создавала поддельные приложения для знакомств, чтобы заманить Силы обороны Израиля (IDF) на установку мобильных приложений, зараженных вредоносным ПО.

Неясно, связаны ли эти две кампании.

Грубое проникновение внутрь

Хотя некоторые участники действуют более методично, другие предпочитают использовать атаки «грубой силы» для агрессивного получения доступа к учетным записям Office 365.

Одним из таких злоумышленников является DEV-0343, который в прошлом месяце был замечен нацелившимся на американские оборонные технологические компании и проводившим массовые атаки с использованием паролей .

Microsoft сообщает, что DEV-0343 перемещается намного быстрее, чем группы, упомянутые выше, обычно получая доступ к целевым учетным записям в тот же день.

Кроме того, исследователи обнаружили совпадения, такие как одновременное нацеливание на определенные учетные записи операторами DEV-0343 и «Европиум», что является явным свидетельством согласованных действий.

Иранские хакеры продолжают развиваться

Microsoft отслеживает иранских игроков почти десять лет назад, и технологический гигант добился определенного успеха в отключении части своей инфраструктуры .

Несмотря на эти усилия, Phosphorus удалось нанести серьезные удары, ярким примером которых является взлом высокопоставленных чиновников в октябре прошлого года.

Последние наблюдения MSTIC подчеркивают, что Phosphorus не только жив и здоров, но и представляет собой изменяющую форму угрозу, поддерживаемую сторонниками беспрецедентного плюрализма.

Последнее обновление 11 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии