Группировки превратились в компетентных злоумышленников, способных вести кибершпионаж, атаковать цепочки поставок и пр.
Специалисты Microsoft Threat Intelligence Center (MSTIC) представили на конференции CyberWarCon 2021 результаты анализа деятельности нескольких иранских киберпреступных группировок. По словам экспертов, атаки иранских хакеров становятся все более изощренными.
С сентября 2020 года Microsoft отслеживает шесть иранских хакерских групп — Thanos (DEV-0146), Moses Staff (DEV-0500), Phosphorus, Rubidium (pay2key), Vice Leaker (DEV-0198) и Agrius (DEV-0227). Преступники устанавливают программы-вымогатели и похищают данные с целью вызвать сбои в работе систем жертв. Со временем данные группировки превратились в компетентных злоумышленников, способных вести кибершпионаж, использовать многоплатформенное вредоносное ПО, проводить операции с использованием программ-вымогателей и вайперов, проводить фишинговые атаки и даже осуществлять атаки на цепочки поставок.
Как отметили эксперты, хакеры сканировали Сеть на предмет устройств Fortinet FortiOS SSL VPN и серверов Microsoft Exchange, содержащих уязвимости ProxyShell и пр.
Еще одна тенденция, проявившаяся в прошлом году, заключается в повышенном уровне терпения и настойчивости в кампаниях социальной инженерии. Раньше такие группировки, как Phosphorus (также известная как Charming Kitten), рассылали электронные письма с вредоносными ссылками и вложениями, однако редко достигали своих целей. Теперь Phosphorus следует по трудоемкому пути «приглашений на собеседование» и в ходе атак инструктирует жертв нажимать на страницы сбора учетных данных в рамках процесса фальшивого собеседования.
Новая группировка Curium также придерживается подобной стратеги и использует обширную сеть поддельных учетных записей в социальных сетях, обычно маскируемых под привлекательных женщин. Они связываются с потенциальными жертвами и ежедневно пытаются завоевать их доверие. Затем в один прекрасный день они отправляют вредоносный документ, что приводит к скрытой установке вредоносных программ.
Похожую тактику использовала хакерская группировка, связанная с исламистским движением ХАМАС, которая создавала поддельные приложения для знакомств с целью обмануть израильских солдат и установить вредоносное ПО на их телефоны.
Хотя некоторые участники действуют более методично, другие предпочитают использовать брутфорс-атаки для агрессивного получения доступа к учетным записям пользователей Microsoft Office 365. Одной из таких новых группировок является DEV-0343, которая в прошлом месяце атаковала американские оборонные технологические компании.
Никаких овечек — только отборные научные факты