Microsoft предупредила о растущей угрозе со стороны иранских хакерских группировок

Ср 17 Ноябрь 2021 11:47

Специалисты Microsoft Threat Intelligence Center (MSTIC) представили на конференции CyberWarCon 2021 результаты анализа деятельности нескольких иранских киберпреступных группировок. По словам экспертов, атаки иранских хакеров становятся все более изощренными.

С сентября 2020 года Microsoft отслеживает шесть иранских хакерских групп — Thanos (DEV-0146), Moses Staff (DEV-0500), Phosphorus, Rubidium (pay2key), Vice Leaker (DEV-0198) и Agrius (DEV-0227). Преступники устанавливают программы-вымогатели и похищают данные с целью вызвать сбои в работе систем жертв. Со временем данные группировки превратились в компетентных злоумышленников, способных вести кибершпионаж, использовать многоплатформенное вредоносное ПО, проводить операции с использованием программ-вымогателей и вайперов, проводить фишинговые атаки и даже осуществлять атаки на цепочки поставок.

Как отметили эксперты, хакеры сканировали Сеть на предмет устройств Fortinet FortiOS SSL VPN и серверов Microsoft Exchange, содержащих уязвимости ProxyShell и пр.

Еще одна тенденция, проявившаяся в прошлом году, заключается в повышенном уровне терпения и настойчивости в кампаниях социальной инженерии. Раньше такие группировки, как Phosphorus (также известная как Charming Kitten), рассылали электронные письма с вредоносными ссылками и вложениями, однако редко достигали своих целей. Теперь Phosphorus следует по трудоемкому пути «приглашений на собеседование» и в ходе атак инструктирует жертв нажимать на страницы сбора учетных данных в рамках процесса фальшивого собеседования.

Новая группировка Curium также придерживается подобной стратеги и использует обширную сеть поддельных учетных записей в социальных сетях, обычно маскируемых под привлекательных женщин. Они связываются с потенциальными жертвами и ежедневно пытаются завоевать их доверие. Затем в один прекрасный день они отправляют вредоносный документ, что приводит к скрытой установке вредоносных программ.

Похожую тактику использовала хакерская группировка, связанная с исламистским движением ХАМАС, которая создавала поддельные приложения для знакомств с целью обмануть израильских солдат и установить вредоносное ПО на их телефоны.

Хотя некоторые участники действуют более методично, другие предпочитают использовать брутфорс-атаки для агрессивного получения доступа к учетным записям пользователей Microsoft Office 365. Одной из таких новых группировок является DEV-0343, которая в прошлом месяце атаковала американские оборонные технологические компании.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 255 дней 10 часов 48 минут 4 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.