Иран проник в сердце космических технологий Ближнего Востока

Исследовательская команда ThreatBook обнаружила использование поддельных сайтов хакерской группировкой APT35, целью которых является установка вредоносного ПО на компьютеры жертв.

Группа APT35 (Magic Hound, Cobalt Illusion, Charming Kitten), финансируемая Ираном и связанная с Корпусом стражей исламской революции (КСИР), активно действует с 2014 года. Среди основных целей — энергетические компании, государственные учреждения и технологические предприятия на Ближнем Востоке, в США и других странах.

Анализ выявил атаки, направленные на аэрокосмическую и полупроводниковую отрасли США, Таиланда, ОАЭ и Израиля. Для своих операций злоумышленники используют фишинговые сайты, маскирующиеся под порталы по найму сотрудников или корпоративные ресурсы. На таких сайтах размещаются программы, сочетающие легитимные элементы и вредоносные модули, которые пользователи загружают и запускают.

На одном из сайтов, нацеленном на эксперта по разработке дронов из Таиланда, обнаружена программа SignedConnection.exe для скрытного запуска вредоносных DLL-модулей, которые позволяют хакерам создавать автозапуск вредоносного ПО через реестр Windows, изменять файлы и избегать статического анализа, а также создавать скрытые копии для последующего выполнения. Более того, обнаруженные жестко закодированные учетные данные могут указывать на целенаправленный характер атаки.

Для обхода защиты используются популярные интернет-ресурсы, такие как OneDrive, Google Cloud и GitHub, а также сложные методы шифрования строк. C2-серверы расположены на различных платформах, включая GitHub и OneDrive, а резервные адреса записаны в коде.

Другая атака была направлена на полупроводниковую компанию. Здесь использовалась поддельная VPN-программа, содержащая DLL-модуль, который действует как загрузчик для вредоносного ПО. Вредоносный трафик направляется на C2-сервера, а для приманки жертв использовались поддельные PDF-документы.

Среди используемых ресурсов обнаружены жестко закодированные резервные адреса C2-серверов, такие как msdnhelp.com. Аналитики предполагают, что следующим этапом злоумышленники могли бы загрузить троян, однако финальный образец зафиксировать не удалось.

ThreatBook собрала индикаторы компрометации, включая вредоносные файлы, IP-адреса и домены, которые были использованы в атаках. Для защиты от подобных угроз рекомендуется использовать решения, обеспечивающие анализ угроз и блокировку вредоносной активности.