Бесплатно Экспресс-аудит сайта:

19.01.2024

Иранские хакеры шпионят за исследователями с помощью Windows Media Player

Компания Microsoft предупреждает о целенаправленных кибератаках иранских хакеров на высокопоставленных сотрудников исследовательских организаций и университетов в Европе и США. Атаки осуществляются с использованием фишинга и нового вредоносного ПО MediaPl.

Microsoft приписала деятельность иранской кибершпионской группировке APT35 (Charming Kitten, Phosphorus, Mint Sandstorm), связанной с Корпусом стражей исламской революции (КСИР), участники которой используют специально подготовленные и сложно обнаруживаемые фишинговые письма, отправляемые через ранее скомпрометированные аккаунты.

С ноября 2023 года специалисты наблюдали, как конкретная группировка Mint Sandstorm (Phosphorus) нацеливается на выдающихся специалистов по вопросам Ближнего Востока в университетах и исследовательских организациях в Бельгии, Франции, Газе, Израиле, Великобритании и США.

Цепочка атаки Mint Sandstorm

В ходе кампании группа Mint Sandstorm с помощью социальной инженерии манипулировала жертвами и заставляла их загружать вредоносные файлы. В некоторых случаях было обнаружено использование новых инструментов после взлома, включая бэкдор MediaPl.

MediaPl использует зашифрованные каналы связи для обмена информацией с сервером управления и контроля (Command and Control, C2 ) и маскируется под Windows Media Player, чтобы избежать обнаружения.

Связь между MediaPl и его C2-сервером осуществляется с использованием шифрования AES и кодирования Base64, а обнаруженная на скомпрометированных устройствах версия обладает способностью автоматически завершать работу, временно приостанавливать свою работу, повторно устанавливать связь с C2 и выполнять команды C2 с использованием функции _popen.

Второе вредоносное ПО на основе PowerShell , известное как MischiefTut, помогает устанавливать дополнительные вредоносные инструменты и обладает возможностями разведки, позволяя злоумышленникам запускать команды на взломанных системах и отправлять результаты на серверы хакеров.

Microsoft отмечает, что люди, которые работают или имеют влияние над разведывательным и политическим сообществом, являются привлекательными целями для киберпреступников, стремящихся собрать разведданные для своего правительства. Исходя из особенностей целей в этой кампании, и использования приманок, связанных с конфликтом в Израиле, можно предположить, что кампания является попыткой собрать мнения о текущих событиях от людей любого идеологического спектра.