Недавний отчет о киберугрозах выявляет опасную деятельность иранской группы кибершпионажа Tortoiseshell, действующей под эгидой Корпуса стражей исламской революции (КСИР). Эта группа, известная также как TA456, Imperial Kitten, Crimson Sandstorm или DustyCave, активно действует с июля 2018 года и представляет собой серьезную угрозу для множества секторов, особенно на Ближнем Востоке.
История и сфера деятельности Tortoiseshell
Группа Tortoiseshell изначально фокусировалась на ИТ-провайдерах в Саудовской Аравии, но вскоре расширила свои операции, охватив следующие области:
- Технологии
- Оборона
- Неправительственные организации
- Государственный сектор
- Финансовые учреждения
- Транспорт
Последние разведывательные данные от компании Mandiant указывают на то, что Tortoiseshell продолжает шпионить за аэрокосмическим и оборонным секторами, активность которых зафиксирована уже с лета 2022 года.
Стратегии кибератак
Группа использует сложные тактики, включая:
- Атаки на цепочки поставок для компрометации ИТ-провайдеров;
- Длительные кампании по социальной инженерии для укрепления доверия к целям;
- Фишинг-рассылки с вредоносными вложениями
Одним из характерных приемов является создание фальшивых персонажей в социальных сетях, что позволяет им взаимодействовать с сотрудниками оборонных подрядчиков. Эти взаимодействия могут привести к рассылке документов с вредоносным ПО или вредоносных ссылок и проникновению в защищенные сети.
Методы вишинга и вредоносного ПО
Tortoiseshell активно использует фишинг, и их электронные письма часто содержат вложения, замаскированные под законные документы, используя уязвимости в программном обеспечении, например, в продуктах Microsoft Office и Adobe. При этом группа прибегает к специфическим методам, таким как:
- Использование вредоносного ПО LEMPO;
- Использование специального имплантата IMAPLoader для скрытной командно-диспетчерской связи;
- Размещение вредоносных файлов в облачных сервисах, таких как Dropbox и Google Drive.
Рекомендации по повышению безопасности
С учетом активных действий Tortoiseshell организации, особенно в целевых секторах, должны принять следующие меры для укрепления защиты:
- Внедрение передовых решений для фильтрации электронной почты;
- Обучение сотрудников распознаванию фишинга;
- Упреждающий мониторинг активности в домене;
- Регулярное тестирование планов реагирования на инциденты;
- Обеспечение безопасного резервного копирования данных;
- Использование решений для анализа угроз для своевременного обнаружения и реагирования.
Таким образом, Tortoiseshell представляет собой значительную угрозу, особенно для организаций, чьи интересы пересекаются с геополитической ситуацией в регионе. Необходим активный и многогранный подход к кибербезопасности для борьбы с такими кибершпионскими группами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Группа Tortoiseshell: угроза кибербезопасности на Ближнем Востоке".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.