Blog

Национальные операторы, связанные с Ираном, все чаще обращаются к программам-вымогателям как к средству получения дохода и преднамеренного саботажа своих целей, а также участвуют в терпеливых и настойчивых кампаниях социальной инженерии и агрессивных атаках методом грубой силы.

Исследователи из Microsoft Threat Intelligence Center (MSTIC) обнаружили , что не менее шести злоумышленников, связанных с этой западноазиатской страной, развертывают программы-вымогатели для достижения своих стратегических целей , добавляя, что «эти развертывания программ-вымогателей запускались волнообразно каждые шесть-восемь недель в среднем. . «

Следует отметить , что злоумышленник, отслеживаемый как Phosphorus (также известный как Charming Kitten или APT35), сканирует IP-адреса в Интернете на наличие непропатченных SSL-VPN Fortinet FortiOS и локальных серверов Exchange Server для получения начального доступа и постоянства в уязвимых сетях, прежде чем переход к развертыванию дополнительных полезных нагрузок, которые позволяют участникам переключаться на другие машины и развертывать программы-вымогатели.

Еще одна тактика, включенная в учебник, — это использование сети фиктивных учетных записей в социальных сетях, в том числе выдаваемых за привлекательных женщин, для установления доверия с целями в течение нескольких месяцев и, в конечном итоге, для доставки документов, содержащих вредоносное ПО, которые позволяют кражу данных из систем жертвы. И Phosphorus, и второй злоумышленник, получивший название Curium, были замечены с использованием таких «терпеливых» методов социальной инженерии для компрометации своих целей.

На рис: Хронология нападений иранских террористов с целью выкупа

«Злоумышленники со временем выстраивают отношения с целевыми пользователями, поддерживая постоянную и непрерывную связь, что позволяет им укреплять доверие и уверенность с целью», — заявили исследователи MSTIC. Во многих случаях, которые мы наблюдали, цели искренне полагали, что они устанавливают человеческую связь, а не взаимодействуют с субъектом угрозы, действующим из Ирана ».

Третья тенденция — использование атак с использованием паролей для клиентов Office 365, нацеленных на компании оборонных технологий США, ЕС и Израиля, подробности о которых Microsoft опубликовала в прошлом месяце , приписывая это кластеру новых угроз DEV-0343.

Кроме того, хакерские группы также продемонстрировали способность приспосабливаться и изменять форму в зависимости от своих стратегических целей и навыков, превращаясь в «более компетентных субъектов угроз», обладающих навыками подрывных и информационных операций путем проведения целого ряда атак, таких как кибершпионаж, атаки с использованием фишинга и распыления паролей, использование мобильных вредоносных программ, средств очистки и программ-вымогателей и даже проведение атак на цепочки поставок.

Полученные данные особенно важны в свете нового предупреждения, выпущенного агентствами по кибербезопасности из Австралии, Великобритании и США, с предупреждением о продолжающейся волне вторжений, осуществляемых спонсируемыми правительством Ирана хакерскими группами с использованием уязвимостей Microsoft Exchange ProxyShell и Fortinet.

«Эти спонсируемые правительством Ирана субъекты APT могут использовать этот доступ для последующих операций, таких как кража или шифрование данных, программы-вымогатели и вымогательство», — заявили агентства в совместном бюллетене, опубликованном в среду.