Prince of Persia: Схватка с судьбой (и вашим Excel). Старейшие хакеры Ирана вернулись из цифрового небытия

leer en español

Infy Prince of Persia SafeBreach Tonnerre Foudre Telegram кибершпионаж
Prince of Persia: Схватка с судьбой (и вашим Excel). Старейшие хакеры Ирана вернулись из цифрового небытия
Infy Prince of Persia SafeBreach Tonnerre Foudre Telegram кибершпионаж

Группировка радикально сменила тактику и обновила свой арсенал до неузнаваемости.

image

После почти пятилетнего затишья иранская группировка Infy, также известная под именем Prince of Persia, вновь привлекла к себе внимание. ИБ-специалисты компании SafeBreach зафиксировали новую кампанию этой старейшей кибершпионской структуры, которая с 2004 года проводила атаки в разных странах, оставаясь при этом в тени других иранских групп.

Недавняя операция затронула жертв в Иране, Ираке, Турции, Индии, Канаде и ряде европейских стран. Основные инструменты группировки остались прежними — зловреды Foudre и Tonnerre. Первый служит для загрузки и запуска второго, а также сбора информации о заражённой системе. В обновлённой версии Foudre с индексом 34 специалисты обнаружили усовершенствованные методы доставки — теперь вредоносное ПО встраивается непосредственно в исполняемый файл, вложенный в документ Microsoft Excel, что делает атаку менее заметной.

Модернизированы и механизмы связи с управляющими серверами. Программа использует алгоритм генерации доменных имён, усложняющий отслеживание командных узлов. Кроме того, каждый день Foudre обращается к удалённому серверу за зашифрованной цифровой подписью, которую расшифровывает с помощью встроенного открытого ключа, чтобы убедиться, что соединение происходит с «правильным» сервером. Такой подход значительно затрудняет перехват и подделку трафика.

На серверах, используемых для управления заражёнными устройствами, специалисты обнаружили структуру, содержащую каталоги с журналами активности, украденными файлами и ключевыми данными для проверки подлинности управляющего узла. Также найдена директория «download», назначение которой пока не установлено, но предполагается, что она может использоваться для загрузки обновлений.

Особое внимание вызвала новая функция в последних версиях Tonnerre — связь через мессенджер Telegram. В ходе анализа выяснилось, что вредоносный код способен подключаться к телеграм-группе с названием «سرافراز» («гордый» по-персидски), состоящей из двух участников: бота, предположительно предназначенного для управления вредоносом и сбора данных, и пользователя с псевдонимом @ehsan8999100. Информация об этой группе хранится на C2-сервере в специальном файле и доступна только для определённых заражённых систем.

В процессе изучения инфраструктуры Infy специалисты также выявили старые образцы вредоносного ПО, активно применявшиеся с 2017 по 2020 год. Среди них — маскирующиеся под новостное приложение программы, троян MaxPinner, позволяющий шпионить за Telegram-активностью, а также неизвестный ранее зловред с названием Rugissement.

Несмотря на внешнюю тишину с 2022 года, группировка Infy не прекращала свою деятельность, просто ушла в более глубокое подполье. Анализ активности за последние три года показывает: разработка инструментов и атаки продолжались, а вся инфраструктура и подход к операциям были заметно усовершенствованы.

На фоне этого обновлённого отчёта в очередной раз прозвучала тема пересечения кибершпионажа с госструктурами. По отдельным утечкам, касающимся другой иранской группировки, Charming Kitten, становится ясно, что под видом разных киберигроков действуют одни и те же административные механизмы. Эта структура управляет как фишинговыми операциями, так и атаками с использованием программ-вымогателей, объединяя всё под единым контролем и логистикой.