Группа правительственных хакеров (APT), связанная с Ираном, обновила свой набор вредоносных инструментов, включив в него новый бэкдор, получивший название Marlin, в рамках длительной шпионской кампании, начавшейся в апреле 2018 года.
Словацкая компания по кибербезопасности ESET приписала атаки под кодовым названием «Out to Sea» злоумышленнику под названием OilRig (он же APT34), а также убедительно связала свою деятельность со второй иранской группой, отслеживаемой под названием Lyceum (Hexane aka SiameseKitten).
«Жертвами кампании являются дипломатические организации, технологические компании и медицинские организации в Израиле, Тунисе и Объединенных Арабских Эмиратах», — отметила ESET в своем отчете об угрозах T3 2021, опубликованном The Hacker News.
Активная по крайней мере с 2014 года, хакерская группа, как известно, наносит удары по правительствам Ближнего Востока и различным бизнес-вертикалям, включая химическую, энергетическую, финансовую и телекоммуникационную. В апреле 2021 года актер нацелился на ливанскую организацию с имплантом под названием SideTwist, в то время как кампании, ранее приписываемые Lyceum, были нацелены на ИТ-компании в Израиле, Марокко, Тунисе и Саудовской Аравии.
Цепочки заражения Lyceum также примечательны тем, что с тех пор, как кампания стала известна в 2018 году, они эволюционировали, чтобы удалить несколько бэкдоров, начиная с DanBot и перейдя на Shark и Milan в 2021 году, с атаками, обнаруженными в августе 2021 года, с использованием нового сбора данных. вредоносное ПО под названием Marlin.
На этом изменения не заканчиваются. В отличие от традиционных TTP OilRig, которые включали использование DNS и HTTPS для управления и контроля (C&C), Marlin использует Microsoft OneDrive API для своих операций C2.
ESET, отметив, что первоначальный доступ к сети был получен с помощью целевого фишинга, а также программного обеспечения для удаленного доступа и администрирования, такого как ITbrain и TeamViewer, назвал сходство инструментов и тактики между бэкдорами OilRig и Lyceum «слишком многочисленными и специфическими».
«Бэкдор ToneDeaf в основном связывался со своим C&C через HTTP/S, но включал вторичный метод, DNS-туннелирование, которое не работает должным образом», — заявили исследователи. «Акула имеет аналогичные симптомы, когда ее основной метод связи использует DNS, но имеет неработоспособный вторичный вариант HTTP/S».
ToneDeaf, который поддерживает сбор системной информации, загрузку и загрузку файлов и выполнение произвольных команд оболочки, представляет собой семейство вредоносных программ, которое было развернуто субъектом APT34 для широкого круга отраслей, работающих на Ближнем Востоке, в июле 2019 года.
Кроме того, результаты также показали перекрывающееся использование DNS в качестве канала связи C&C, а также использование HTTP/S в качестве вторичного метода связи и использование нескольких папок в рабочем каталоге бэкдора для загрузки и скачивания файлов с сервера C&C.
Ссылка на статью https://lespartisanes.org/iranskie-hakery-ispolzuyut-marlin/