Атаки были организованы с помощью двух новых вредоносных программ с простыми функциями бэкдора.
Иранская киберпреступная группировка UNC3313 вооружилась двумя новыми вредоносными программами с простыми функциями бэкдора в рамках атак на неназванное правительственное учреждение на Ближнем Востоке в ноябре 2021 года. Специалисты компании Mandiant полагают, что UNC3313 связана с группировкой MuddyWater (также известной как Static Kitten, Seedworm, TEMP.Zagros и Mercury)
«UNC3313 ведет наблюдение и собирает стратегическую информацию в интересах Ирана. Схемы атак и связанные с ними приманки демонстрируют сильное внимание к целям с геополитической связью», — отметили эксперты.
Атаки были организованы с помощью адресных фишинговых сообщений для получения первоначального доступа с последующим использованием общедоступных наступательных инструментов безопасности и программного обеспечения удаленного доступа для перемещения по сети и обеспечения персистентности.
Фишинговые электронные письма обманом заставили нескольких жертв перейти по URL-адресу для загрузки файла архива RAR, размещенного на OneHub. Это позволило преступникам установить на системах жертвы легитимное приложение ScreenConnect для удаленного доступа.
Последующие этапы атаки включали повышение привилегий, проведение внутренней разведки в целевой сети и выполнение PowerShell-команд для загрузки дополнительных инструментов и полезной нагрузки на удаленные системы.
Также был обнаружен ранее неизвестный бэкдор под названием STARWHALE, файл скрипта Windows (.WSF), который выполняет команды, полученные от командного сервера через HTTP.
В ходе атак также использовался имплантат GRAMDOOR. Вредонос использует Telegram API для сетевой связи с сервером, контролируемым злоумышленником, в попытке избежать обнаружения.
Собираем и анализируем опыт профессионалов ИБ