Обнаружен новый «солдат» в кибервойне между Израилем и Ираном

Обнаружен новый «солдат» в кибервойне между Израилем и Ираном

Атаки Ирана на Израиль могут повлиять на весь мир.

image

Согласно анализу Mandiant , кибератаки на компании Израиля проводит иранская группировка UNC3890. Активность была впервые отмечена в конце 2020 года и продолжается до сих пор.

Хотя группа нацелена только на Израиль, некоторые из целей являются международными организациями, а это означает, что может быть волновой эффект в других странах. Основными целями являются правительство, судоходство, энергетика, авиация и сектор здравоохранения.

Большое внимание уделяется израильскому судоходству. По словам исследователей, хотя группа занимается сбором разведывательных данных, собранные данные могут быть использованы для поддержки различных действий, от взлома и утечки до проведения военных действий, которые происходят в судоходной отрасли в последние годы.

Первоначальный доступ UNC3890 осуществлялся через водопой ( watering hole ) и сбор учетных данных, для которого используются C2-серверы и фишинговые приманки. На серверах размещаются домены и фальшивые страницы входа, подделывающие Office 365, LinkedIn и Facebook*, на которых киберпреступники размещают поддельные предложения о работе и фальшивые рекламные ролики. Исследователи также обнаружили сервер UNC3890, содержащий данные Facebook* и Instagram*, которые могли быть использованы в атаках с использованием социальной инженерии.

Одной из фишинговых приманок был XLS-файл, имитирующий предложение о работе и предназначенный для установки одного из инструментов группы Sugardump. Это инструмент для сбора учетных данных, способный извлекать пароли из браузеров на основе Chromium и эксфильтровать собранную информацию. Кроме того, одна из версий Sugardump использует SMTP-протокол для связи с C2-сервером и адресами Yahoo, Yandex и Gmail для эксфильтрации.

Второй инструмент Sugarush представляет из себя бэкдор для установления соединения со встроенным C2-сервером и выполнения CMD команд. Другие инструменты группировки UNC3890 включают:

  • Unicorn (инструмент для проведения PowerShell-атаки и внедрения шелл-кода в память);
  • Metasploit;
  • Northstar C2 (open-source среда C2 для пентеста и Red Teaming).

Исходя из анализа кода и целях группы, эксперты Mandiant могут предполагать, что UNC3890 является потенциально новой группой угроз, связанной с Ираном.

*(запрещенная в РФ социальная сеть; принадлежит корпорации Meta, которая признана в России экстремистской и запрещена).


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!