Аналитика киберугроз: активность хакерских групп, поддерживаемых правительством Ирана
В последние годы киберпространство становится все более ареной глобальных конфликтов, где ведущие игроки используют сложные методы воздействия на государственные и частные структуры. Особое внимание экспертов привлекают иранские APT-группы, которые демонстрируют высокий уровень организации и технической оснащенности. В этом обзоре рассмотрим ключевые коллективы, их цели, инструменты и тактики, основанные на свежих данных.
APT35: стратегическое проникновение в сердце западных и ближневосточных учреждений
Группа APT35 действует с 2014 года и связывается с правительством Ирана. Основные цели — военные, дипломатические и правительственные учреждения в США, Европе и на Ближнем Востоке. Для достижения своих целей APT35 использует целый арсенал методик:
- компрометация облачных аккаунтов — кража учетных данных, фишинг, подбор паролей и кража токенов (особенно Microsoft 365 и Gmail);
- использование специализированного инструмента Hyperscrape, обеспечивающего скрытый доступ и фильтрацию писем из скомпрометированных почтовых ящиков;
- разработка вредоносных программ, таких как PowerLess — малозаметный PowerShell-бэкдор, и BellaCiao — дроппер, который устанавливает имплантаты по геолокации жертвы;
- применение быстрого обратного прокси-сервера (FRP) для туннелирования RDP и C2-трафика через контролируемую облачную инфраструктуру — метод обхода систем безопасности;
- эксплуатация уязвимостей, в том числе широко известной Log4j, для внедрения обратных оболочек и сбора учетных данных на платформах Windows и Linux.
APT33: целенаправленное воздействие на авиационную и нефтяную отрасли
Работая с 2013 года и также связанная с иранскими властями, APT33 сфокусирована на авиации и нефтяном секторе в США, Саудовской Аравии и Южной Корее. Их подход характеризуется активным использований облачных сервисов и сложных техник:
- использование Azure Active Directory как части системы управления операциями;
- применение собственной вредоносной программы Tickler, которая взаимодействует с контролируемыми злоумышленниками ресурсами Azure для утечки данных и управления;
- тактика разбрасывания паролей по учетным записям Microsoft 365 с использованием TOR exit nodes и инструментов разведки, таких как Roadtools и AzureHound;
- основное направление вредоносного ПО — системы Windows, при этом активно затрагиваются облачные сервисы на базе Linux (виртуальные машины Azure, VPN-устройства);
- использование социальной инженерии, в частности LinkedIn, для сбора учетных данных.
Pioneer Kitten: посредник в схеме вымогательства и комплексное проникновение
Группа Pioneer Kitten существует с 2017 года и поддерживает интересы Ирана, нацеливаясь на образовательный, финансовый, медицинский и оборонный секторы. Их особенности:
- функции посредника первоначального доступа для последующих операций с ransomware;
- эксплуатация уязвимостей на VPN и сетевых устройствах, включая Citrix Netscaler и F5 BIG-IP;
- поддержание постоянного присутствия через скрытые веб-оболочки и методы безфайлового выполнения, позволяющие обходить обнаружение;
- использование комплексов автономных инструментов и фреймворков для эксплуатации Linux и облачных сред;
- организация туннелирования через взломанные системы для облегчения атак с вымогательством или продажи доступа другим группам, что отражает гибридный характер их деятельности между кибершпионажем и киберпреступностью.
Заключение
Анализ деятельности иранских APT-групп демонстрирует глубокую интеграцию киберопераций в государственную стратегию. Использование облачных сервисов, сложных вредоносных инструментов и методов обхода безопасности позволяет им эффективно атаковать критически важные инфраструктуры по всему миру. Современный киберщит требует постоянного совершенствования и адаптации к изощренным тактикам таких коллективов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ киберактивности ирaнских APT: методы и угрозы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
