Шпионские игры по-восточному: пока одни строчат резюме, другие ломают сети

В октябре 2024 года группировка UNC2428, связанная с Ираном, провела масштабную кампанию социальной инженерии против израильских пользователей, маскируясь под рекрутеров оборонной компании Rafael. Атака сопровождалась внедрением вредоносной программы MURKYTOUR через псевдоинсталлятор под названием LONEFLEET, оформленный как интерфейс для подачи резюме. Кампания стала частью более широкой кибершпионской деятельности, направленной на сбор данных и установление долгосрочного доступа к системам жертв.

После того как пользователь вводил данные в поддельную форму и якобы отправлял резюме, на его компьютере запускался фоновый процесс с бэкдором MURKYTOUR. Злоумышленники использовали компонент LEAFPILE как механизм запуска, чтобы сохранить контроль над устройством. Как подчёркивает Mandiant, применение графических интерфейсов, стилизованных под легитимные приложения, снижает подозрительность и повышает успех атаки.

Данная активность перекликается с действиями группировки Black Shadow, которую Национальное киберуправление Израиля связывает с Министерством разведки Ирана. Эта группа ранее атаковала израильские организации из разных секторов, включая образование, финансы, связь, транспорт, здравоохранение и правительство.

Помимо UNC2428, другие иранские группировки также были активны в 2024 году. Среди них — Cyber Toufan, использовавшая разрушительное ПО POKYBLIGHT в атаках на пользователей из Израиля, и UNC3313, специализирующаяся на фишинговых атаках с применением программ-дропперов JELLYBEAN и бэкдоров CANDYBOX. Эта же группа активно применяла до девяти легитимных средств удалённого администрирования, что характерно для группы MuddyWater, с которой её связывают.

В июле 2024 года был зафиксирован ещё один инцидент: иранские хакеры распространяли вредоносное ПО CACTUSPAL, маскируя его под установщик популярного корпоративного VPN-клиента Palo Alto Networks GlobalProtect. После запуска «установщика» происходила скрытая инсталляция бэкдора, написанного на .NET, с последующим подключением к внешнему серверу управления.

Группировка UNC1549 также модернизировала свои методы, активно внедряя облачную инфраструктуру, чтобы их активность выглядела как часть нормальной работы корпоративной сети. Использование поддельных доменов, размещение управляющих серверов в облаке и имитация популярных сервисов позволяют скрываться от автоматических систем защиты.

Не обошлось и без участия APT42, также известной как Charming Kitten. Эта группа продолжила практику выстраивания доверительных отношений с целью кражи учётных данных, подсовывая жертвам поддельные страницы входа в Google, Microsoft и Yahoo! с перенаправлением через Google Sites и Dropbox.

Всего, по данным Mandiant, в 2024 году в регионе Ближнего Востока иранскими группами использовалось более 20 уникальных семейств вредоносного ПО — от загрузчиков и дропперов до полноценных бэкдоров. Два из них — DODGYLAFFA и SPAREPRIZE — были замечены в атаках APT34 (OilRig) против иракских госструктур.

По мере того, как иранские кибероперации продолжают соответствовать интересам государства, методы атак становятся всё более изощрёнными, адаптируясь к изменениям в системах защиты.