Субъекту угрозы, связанному с Ираном, известному как UNC1549, со средней степенью достоверности приписывается новая серия атак, нацеленных на аэрокосмическую, авиационную и оборонную промышленность Ближнего Востока, включая Израиль и ОАЭ.
Другие цели кибершпионажа, вероятно, включают Турцию, Индию и Албанию, говорится в новом анализе принадлежащей Google компании Mandiant.
Говорят, что UNC1549 пересекается с Smoke Sandstorm (ранее Bohrium) и Crimson Sandstorm (ранее Curium), последняя из которых является аффилированной с Корпусом стражей исламской революции (КСИР) группировкой, которая также известна как Imperial Kitten, TA456, Tortoiseshell и Yellow Liderc.
"Эта предполагаемая деятельность UNC1549 была активна как минимум с июня 2022 года и все еще продолжается по состоянию на февраль 2024 года", - заявили в компании. "Несмотря на региональный характер и сосредоточенность в основном на Ближнем Востоке, целью являются организации, действующие по всему миру".
Атаки связаны с использованием облачной инфраструктуры Microsoft Azure для командования и контроля (C2) и социальной инженерии с использованием приманок, связанных с работой, для доставки двух бэкдоров, получивших название MINIBIKE и MINIBUS.
Фишинговые электронные письма предназначены для распространения ссылок на поддельные веб-сайты, содержащие контент, связанный с Израилем и ХАМАСОМ, или фальшивые предложения о работе, что приводит к распространению вредоносной полезной нагрузки. Также обнаружены поддельные страницы входа, имитирующие учетные данные крупных компаний.
Пользовательские бэкдоры при установлении доступа C2 действуют как канал для сбора разведданных и дальнейшего доступа в целевую сеть. Еще одним инструментом, развернутым на данном этапе, является программное обеспечение для туннелирования под названием LIGHTRAIL, которое взаимодействует с использованием облака Azure.
В то время как MINIBIKE основан на C ++ и способен фильтровать и загружать файлы, а также выполнять команды, MINIBIKE служит более "надежным преемником" с расширенными функциями разведки.
"Разведданные, собранные об этих организациях, имеют отношение к стратегическим интересам Ирана и могут быть использованы как для шпионажа, так и для кинетических операций", - сказал Мандиант.
"Методы уклонения, применяемые в этой кампании, а именно индивидуальные приманки на тему работы в сочетании с использованием облачной инфраструктуры для C2, могут затруднить сетевым защитникам предотвращение, обнаружение и смягчение последствий этой деятельности".
CrowdStrike в своем Отчете о глобальных угрозах за 2024 год описал, как "фейк-активисты, связанные с противниками иранского государства, и хактивисты, позиционирующие себя как "пропалестинские", сосредоточились на атаках на критическую инфраструктуру, израильские системы предупреждения о воздушных снарядах и деятельность, предназначенную для информационных операций в 2023 году".
В их число входят Banished Kitten, который запустил вредоносную программу BiBi wiper, и Vengeful Kitten, псевдоним Moses Staff, который заявил об уничтожении данных в системах промышленного контроля (ICS) более чем 20 компаний в Израиле.
Тем не менее, противники, связанные с ХАМАС, заметно отсутствовали в деятельности, связанной с конфликтом, что компания по кибербезопасности приписала вероятным сбоям в электроснабжении и интернете в регионе.
Другие цели кибершпионажа, вероятно, включают Турцию, Индию и Албанию, говорится в новом анализе принадлежащей Google компании Mandiant.
Говорят, что UNC1549 пересекается с Smoke Sandstorm (ранее Bohrium) и Crimson Sandstorm (ранее Curium), последняя из которых является аффилированной с Корпусом стражей исламской революции (КСИР) группировкой, которая также известна как Imperial Kitten, TA456, Tortoiseshell и Yellow Liderc.
"Эта предполагаемая деятельность UNC1549 была активна как минимум с июня 2022 года и все еще продолжается по состоянию на февраль 2024 года", - заявили в компании. "Несмотря на региональный характер и сосредоточенность в основном на Ближнем Востоке, целью являются организации, действующие по всему миру".
Атаки связаны с использованием облачной инфраструктуры Microsoft Azure для командования и контроля (C2) и социальной инженерии с использованием приманок, связанных с работой, для доставки двух бэкдоров, получивших название MINIBIKE и MINIBUS.
Фишинговые электронные письма предназначены для распространения ссылок на поддельные веб-сайты, содержащие контент, связанный с Израилем и ХАМАСОМ, или фальшивые предложения о работе, что приводит к распространению вредоносной полезной нагрузки. Также обнаружены поддельные страницы входа, имитирующие учетные данные крупных компаний.
Пользовательские бэкдоры при установлении доступа C2 действуют как канал для сбора разведданных и дальнейшего доступа в целевую сеть. Еще одним инструментом, развернутым на данном этапе, является программное обеспечение для туннелирования под названием LIGHTRAIL, которое взаимодействует с использованием облака Azure.
В то время как MINIBIKE основан на C ++ и способен фильтровать и загружать файлы, а также выполнять команды, MINIBIKE служит более "надежным преемником" с расширенными функциями разведки.
"Разведданные, собранные об этих организациях, имеют отношение к стратегическим интересам Ирана и могут быть использованы как для шпионажа, так и для кинетических операций", - сказал Мандиант.
"Методы уклонения, применяемые в этой кампании, а именно индивидуальные приманки на тему работы в сочетании с использованием облачной инфраструктуры для C2, могут затруднить сетевым защитникам предотвращение, обнаружение и смягчение последствий этой деятельности".
CrowdStrike в своем Отчете о глобальных угрозах за 2024 год описал, как "фейк-активисты, связанные с противниками иранского государства, и хактивисты, позиционирующие себя как "пропалестинские", сосредоточились на атаках на критическую инфраструктуру, израильские системы предупреждения о воздушных снарядах и деятельность, предназначенную для информационных операций в 2023 году".
В их число входят Banished Kitten, который запустил вредоносную программу BiBi wiper, и Vengeful Kitten, псевдоним Moses Staff, который заявил об уничтожении данных в системах промышленного контроля (ICS) более чем 20 компаний в Израиле.
Тем не менее, противники, связанные с ХАМАС, заметно отсутствовали в деятельности, связанной с конфликтом, что компания по кибербезопасности приписала вероятным сбоям в электроснабжении и интернете в регионе.
