Новости Иранские хакеры используют новый бэкдор для шпионажа за правительствами Ближнего Востока

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022

Киберпреступники используют неизвестное вредоносное ПО, которое использует правительственную почту для сбора данных.​


2x7ute80yka0srww225834ettzhv2wo9.jpg


Исследователи кибербезопасности из ИБ-компании Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся , что иранская APT-группа Для просмотра ссылки Войди или Зарегистрируйся (APT34, Cobalt Gypsy, Europium, and Helix Kitten) продолжает атаковать правительственные организации на Ближнем Востоке в рамках кампании кибершпионажа, которая использует новый Для просмотра ссылки Войди или Зарегистрируйся для кражи данных.

Кампания использует легитимные, но скомпрометированные учетные записи электронной почты для отправки украденных данных на внешние почтовые аккаунты, контролируемые злоумышленниками.


tzgt431fokyv9e1wpfdkvtu4zcbxp0iy.png


Цепочка атаки OilRig Для отправки данных используется бэкдор на основе .NET, которому поручено доставлять 4 разных файла, включая основной имплантат («DevicesSrv.exe»), эксфильтрующий определенные файлы.

На втором этапе используется файл Для просмотра ссылки Войди или Зарегистрируйся -библиотеки, который собирает учетные данные пользователей домена и локальных профилей.

Наиболее заметным аспектом бэкдора является его процедура эксфильтрации, которая включает использование украденных учетных данных для отправки электронных писем на контролируемые злоумышленниками email-адреса Gmail и Proton Mail. Хакеры отправляют эти электронные письма через правительственные серверы Exchange, используя скомпрометированные легитимные аккаунты.

Эту кампанию специалисты связали с APT34 из-за сходства дропперов первого этапа и бэкдора Для просмотра ссылки Войди или Зарегистрируйся , виктимологии и использования серверов обмена с выходом в Интернет в качестве метода связи, как это наблюдалось в случае Для просмотра ссылки Войди или Зарегистрируйся .

По словам исследователей, несмотря на простоту процедуры, новизна второго и последнего этапов также указывает на то, что вся эта процедура может быть лишь небольшой частью более крупной кампании, нацеленной на правительства.
 
Источник новости
www.securitylab.ru

Похожие темы