Вредоносы, VPN и поддельная дипломатия. Раскрыта схема масштабной кибератаки Ирана на государственные структуры мира

В августе 2025 года специалисты Dream Threat Intelligence зафиксировали масштабную фишинговую атаку, организованную операторами, связанными с Ираном. Кампания, приписываемая группе Homeland Justice под контролем Министерства разведки и безопасности Ирана (MOIS), была замаскирована под официальную дипломатическую переписку от имени МИД Омана. Для рассылки использовался скомпрометированный почтовый ящик посольства Омана в Париже — письма отправлялись государственным структурам и международным организациям по всему миру.

По данным специалистов, макрос считывал зашифрованную последовательность чисел из скрытого текстового поля формы и декодировал её, преобразуя трёхзначные сегменты в ASCII-символы. Полученный исполняемый файл сохранялся под видом лог-файла ManagerProc.log в папке C:\Users\Public\Documents, после чего выполнялся скрытно, без каких-либо признаков активности на экране пользователя. Для повышения скрытности использовались классические приёмы уклонения: запуск с параметром vbHide, замедление выполнения, подавление ошибок и маскировка кода под лог-файл. Вредонос также копировал себя в C:\ProgramData\sysProcUpdate.exe для обеспечения устойчивости, а затем модифицировал параметры DNS и TCP/IP в системном реестре, затрудняя обнаружение и обеспечивая возможность долгосрочного присутствия.

Внедрённый исполняемый файл sysProcUpdate собирал данные об имени пользователя, имени компьютера, уровне привилегий и генерировал JSON-структуру, которая затем передавалась через HTTPS-запросы на удалённый C2-сервер https://screenai.online/Home/. При тестировании в песочнице соединение не состоялось, что свидетельствует либо о блокировке сервера, либо о его временной недоступности. В числе выявленных сетевых индикаторов — постоянные попытки TLS-соединения с этим доменом по порту 443.

Кампания отличалась масштабностью и многоуровневой структурой: для сокрытия источника использовалось не менее 104 скомпрометированных адресов электронной почты, а отправка производилась через VPN-сервер. Атака велась одновременно в нескольких регионах, включая Ближний Восток, Европу, Азию, Африку, Америку и международные организации, с учётом специфики и контекста каждой цели. В некоторых письмах упоминалась тема «Будущее региона после конфликта между Ираном и Израилем и роль арабских стран на Ближнем Востоке», что подчёркивает попытки использовать геополитическую напряжённость в качестве приманки.

Инфраструктура атаки включала легитимные правительственные домены (например, *@fm.gov.om), VPN-серверы и вредоносный хостинг на домене screenai.online. Фишинговые вложения имитировали официальные документы МИД, призывая получателей «разблокировать содержимое» и активировать макросы. Некоторые адресаты увидели предупреждающие баннеры от Proofpoint на украинском языке, что указывает на проникновение в организации, использующие локализованные средства фильтрации.

По оценке Dream, данная операция имеет все признаки разведывательной деятельности с возможным дальнейшим этапом эксфильтрации данных или латерального перемещения внутри сетей. Кампания использует сочетание глубоко кастомизированных фишинговых приманок, социальной инженерии и технических приёмов обхода защит, демонстрируя высокий уровень подготовки и знание дипломатического ландшафта. Наиболее вероятной целью атаки были разведка, выстраивание плацдарма и долгосрочное присутствие внутри критически важных учреждений.

Специалисты рекомендуют немедленно блокировать все выявленные индикаторы компрометации, следить за исходящими POST-запросами на URL-адреса с /Home/, регулярно проверять системный реестр на предмет несанкционированных изменений сетевых параметров и отключить макросы в Microsoft Office по умолчанию. Также рекомендуется анализировать VPN-логи на предмет подозрительных соединений, исходящих из нестандартных регионов, и внедрить сегментацию сети с ограничением исходящего трафика.

По совокупности признаков, кампания представляет собой сложную, многоступенчатую шпионскую операцию с акцентом на дипломатические учреждения, особенно в Европе и на Ближнем Востоке, с высоким уровнем маскировки и потенциалом для дальнейших фаз атаки.