Иранские хакеры шпионят с помощью Windows Media Player |
18.01.2024 18:38 |
Компания Microsoft предупреждает о целенаправленных кибератаках иранских хакеров на высокопоставленных сотрудников исследовательских институтов и университетов в Европе и США. Атаки осуществляются с помощью фишинга и нового вредоносного ПО под названием Windows Media Player. Microsoft приписывает эту деятельность APT35 (Charming Kitten, Phosphorus и Mint Sandstorm), иранской кибершпионской группе, связанной с Корпусом стражей исламской революции (КСИР), члены которой ранее уже взламывали учетные записи. Используя специально созданные, трудно обнаруживаемые фишинговые письма. С ноября 2023 года эксперты наблюдают, как особая группа, Mint Sandstorm (Lynn), атакует видных специалистов Ближнего Востока из университетов и исследовательских институтов Бельгии, Франции, Газы, Израиля, Великобритании и США. В ходе кампании группа Mint Sandstorm использовала социальную инженерию для манипулирования жертвами с целью заставить их загрузить вредоносные файлы. В некоторых случаях было обнаружено использование новых инструментов после взлома, включая бэкдор MediaPl. MediaPl использует зашифрованный канал связи для общения с командно-контрольными (C2) серверами и выдает себя за Windows Media Player, чтобы избежать обнаружения. Связь между MediaPl и сервером C2 осуществляется с использованием шифрования AES и кодировки Base64, а версия, обнаруженная на скомпрометированном устройстве, способна автоматически выключаться, временно приостанавливать работу, восстанавливать связь с C2 и использовать функцию _popen для выполнения команды C2 команду с помощью функции _popen. Вторая вредоносная программа на базе PowerShell, известная как MischiefTut, помогает устанавливать дополнительные вредоносные инструменты и обладает возможностями разведки, позволяющими злоумышленникам выполнять команды на взломанной системе и отправлять результаты на сервер хакера. Microsoft отмечает, что люди, работающие в разведке и политических кругах или влияющие на них, являются привлекательными целями для киберпреступников, стремящихся собрать информацию для правительства. Специфический характер целей кампании и использование приманок, связанных с израильским конфликтом, позволяют предположить, что кампания пытается собрать мнения о текущих делах у людей любой идеологии. |