Война идёт на двух фронтах — один в Иране, второй в почте. Как новости о бомбёжках стали идеальной приманкой

Пока вокруг военного конфликта продолжается боевая активность, киберпространство быстро наполняется другой активностью: фишингом, кражей учетных данных и попытками закрепиться в сетях госструктур. Исследователи Proofpoint зафиксировали сразу несколько кампаний, которые с начала марта используют тему ударов как приманку для атак на ведомства и дипломатические организации на Ближнем Востоке. В подборке оказались как уже известные группы, так и новые кластеры, которым компания пока дала временные обозначения. Среди предполагаемых источников активности Proofpoint называет Китай, Беларусь, Пакистан, ХАМАС и Иран.

По оценке Proofpoint, часть игроков просто встроила тему конфликта в привычные операции, чтобы повысить открываемость писем и доверие к вложениям. Но у некоторых кампаний заметен и более конкретный интерес к разведывательному сбору данных против ближневосточных государственных и дипломатических структур. Исследователи отдельно подчеркивают, что конфликт работает сразу в двух ролях: как удобный сюжет для социальной инженерии и как повод усилить сбор региональной информации о ходе войны и ее политических последствиях.

Первая из описанных операций, UNK_InnerAmbush, началась уже 1 марта, на следующий день после старта конфликта. Кампания была нацелена на государственные и дипломатические организации на Ближнем Востоке. Письма отправляли с вероятно скомпрометированного адреса и вели на Google Drive. В первой волне злоумышленники использовали тему смерти аятоллы Али Хаменеи и обещали прислать чувствительные снимки якобы от американского внешнеполитического ведомства. Позже приманку сменили на другой сюжет: материалы о том, что Израиль якобы готовит удар по нефтегазовой инфраструктуре стран Персидского залива, чтобы переложить ответственность на Иран.

Дальше схема становилась заметно серьезнее обычного фишинга. На Google Drive лежали архивы с паролем, внутри которых находились LNK-файлы, замаскированные под изображения JPG. После запуска жертве показывали приманочный файл, а в фоне начиналась загрузка через DLL sideloading: подписанный исполняемый файл nvdaHelperRemoteLoader.exe подхватывал вредоносную библиотеку, которая расшифровывала и запускала Cobalt Strike из отдельного файла. Для связи с управляющим сервером использовался домен support.almersalstore[.]com. В письмах также были уникальные трекинговые пиксели, чтобы отслеживать, кто именно открыл сообщение.

Вторая кампания связана с TA402, также известной как Frankenstein или Cruel Jackal. В начале марта группа атаковала одно из правительственных ведомств на Ближнем Востоке, используя письмо с темой возможной наземной операции США и военного союза стран Залива против угроз. Для рассылки использовали как скомпрометированный адрес МИД, так и отдельный аккаунт, контролируемый атакующими. Ссылка внутри письма в зависимости от геолокации адресата показывала либо безобидный PDF, либо страницу для сбора логинов и паролей, оформленную под Outlook Web App. Если жертва вводила данные, форма отправляла их на тот же сервер через HTTP POST.

Третья операция - UNK_RobotDreams, выглядит как работа предположительно пакистанского игрока. 5 марта злоумышленники отправили spearphishing-письма в индийские офисы ближневосточных госорганизаций. Для правдоподобия использовали адрес Outlook, замаскированный под индийское Министерство иностранных дел, и тему Gulf Security Alert. Вложенный PDF содержал размытый приманочный документ и фальшивую кнопку Adobe Reader. Нажатие вело на домен defenceprodindia[.]site, который через геофенсинг отдавал обычным посетителям приманку, а выбранным целям - исполняемый файл Reader_en_install.exe. Дальше .NET-загрузчик через PowerShell подтягивал Rust-бэкдор с инфраструктуры на Azure Front Door, сохранял его как VLCMediaPlayer.exe, а тот уже собирал сведения о системе и связывался с командным сервером. Proofpoint отмечает пересечение этой кампании с публичным отчетом Bitdefender, но пока не выделяет активность в отдельную именованную группу.

Четвертая цепочка, UNK_NightOwl, была зафиксирована 2 марта. Здесь целью стало одно из министерств на Ближнем Востоке, а в качестве приманки использовали тему обострения ситуации в регионе. Письма отправляли как с вероятно скомпрометированного сирийского правительственного адреса, так и с аккаунта фальшивой организации War Analyse Ltd. Внутри была ссылка на домен, который маскировался под OneDrive, но на деле открывал фишинговую страницу в стиле Outlook Web App. После ввода данных жертву перенаправляли уже на легитимный ресурс iran.liveuamap[.]com с новостями по конфликту, чтобы снизить подозрения. Proofpoint считает UNK_NightOwl новым кластером, потому что наблюдаемая активность не совпала с признаками уже известных треков.

Пятая кампания связана с TA473, более известной как Winter Vivern. С 3 по 5 марта группа рассылала письма в госорганизации Европы и Ближнего Востока от имени представителя председателя Европейского совета. Вложения приходили в виде HTML-файла с заголовком о заявлении Евросоюза по ситуации и на Ближнем Востоке. При открытии файл показывал приманочное изображение и отправлял HTTP-запрос на внешний URL с адресом получателя в параметре. На момент анализа Proofpoint не смогла получить следующий вредоносный этап, поэтому исследователи считают, что конкретно в этом случае HTML-файл, вероятнее всего, использовали для трекинга, а не для доставки нагрузки. Отдельно компания отмечает, что раньше не видела TA473 в атаках на ближневосточные госструктуры.

Шестая кампания интересна по другой причине. Proofpoint пишет, что после начала конфликта среди известных игроков пока всплыла только одна подтвережденная операция, связанная с TA453, которую также отслеживают под именами Charming Kitten, Mint Sandstorm и APT42. В конце февраля и начале марта группа атаковала сотрудника американского аналитического центра, выдавая себя за руководителя исследований Henry Jackson Society Майкла Макмануса. Переписка началась еще до войны с безобидного приглашения на обсуждение, а уже после начала боевых действий продолжилась через корпоративные адреса и завершилась фишингом. В качестве приманки использовали тему круглого стола по вопросам ПВО на Ближнем Востоке. Сначала жертве отправили нормальный PDF с описанием мероприятия, а затем ссылку на контролируемый домен, который переводил на фишинговую страницу в стиле OneDrive, размещенную на Netlify и заранее заполненную адресом получателя. По мнению Proofpoint, такой таймлайн показывает, что TA453 не переключилась полностью на хаотичные кампании и продолжает обычную разведывательную работу по своим традиционным целям.

На фоне всей подборки особенно заметно одно: даже при ограничениях связи и при общей турбулентности вокруг конфликта киберактивность не замерла. Наоборот, тема войны быстро превратилась в универсальный инструмент для социальной инженерии. Одни группы используют ее как актуальный сюжет для уже знакомых схем, другие, судя по выбору целей, пытаются вытащить максимум разведданных из ближневосточных госструктур и дипломатических каналов. Для защитников вывод довольно прямой: письма на данную тему сейчас нужно рассматривать как повышенно рискованные, даже если они приходят с адресов, похожих на правительственные или дипломатические.