Добавить в корзинуПозвонить
Найти в Дзене
avencores.
542 подписчика

Иранский файрвол против Prince of Persia: Провал хакеров и утечка данных через Telegram

1 мин
SafeBreach опубликовала детальное расследование о деятельности иранской хакерской группировки Prince of Persia (также известной как Infy). Исследователи зафиксировали уникальный случай, когда государственная цензура ударила по «своим» же кибервойскам: активность группы, годами терроризировавшей жертв шпионажем, полностью прекратилась 8 января 2026 года. Причиной стал тотальный интернет-блэкаут, организованный властями Ирана. Хакеры смогли вернуться в сеть и начать регистрацию новых C2-доменов только после ослабления ограничений 26-27 января. - Ошибка в Telegram API: Группировка использовала приватный чат для сбора данных, полагаясь на настройки приватности бота, у которого не было прав на чтение сообщений. Однако исследователи обнаружили логическую уязвимость: метод forwardMessage позволял пересылать сообщения по их числовым ID даже без прав администратора. Перебрав идентификаторы, специалисты выкачали всю переписку, логи и файлы жертв. - Ирония "суверенного интернета": Введение жестко
Оглавление

SafeBreach опубликовала детальное расследование о деятельности иранской хакерской группировки Prince of Persia (также известной как Infy). Исследователи зафиксировали уникальный случай, когда государственная цензура ударила по «своим» же кибервойскам: активность группы, годами терроризировавшей жертв шпионажем, полностью прекратилась 8 января 2026 года. Причиной стал тотальный интернет-блэкаут, организованный властями Ирана. Хакеры смогли вернуться в сеть и начать регистрацию новых C2-доменов только после ослабления ограничений 26-27 января.

Ключевые моменты расследования

- Ошибка в Telegram API: Группировка использовала приватный чат для сбора данных, полагаясь на настройки приватности бота, у которого не было прав на чтение сообщений. Однако исследователи обнаружили логическую уязвимость: метод forwardMessage позволял пересылать сообщения по их числовым ID даже без прав администратора. Перебрав идентификаторы, специалисты выкачали всю переписку, логи и файлы жертв.

- Ирония "суверенного интернета": Введение жесткого национального файрвола в Иране непреднамеренно парализовало работу проправительственных хакеров, отрезав их от управления зараженными машинами за рубежом на две недели.

- Неудачная контратака: Обнаружив посторонних в своем чате, хакеры попытались заразить исследователей, сбросив архив под видом данных жертвы. Внутри находился загрузчик ZZ Stealer, код которого содержал специфические команды управления (например, строку "8==3"), что лишь упростило атрибуцию и анализ их инструментов.

Технические особенности малвари Tornado

- Деобфускация через блокчейн: Новая версия фирменного вредоноса Tornado (эволюция предыдущего инструмента Tonnerre) использует технологию EtherHiding. Адреса управляющих серверов (C2) скрыты в транзакциях публичных блокчейнов (Ethereum или Binance Smart Chain), что делает блокировку инфраструктуры практически невозможной без цензурирования всего крипто-трафика.

- Гибридная архитектура C2: Вредоносное ПО поддерживает управление как через HTTP, так и через Telegram-ботов, обеспечивая резервные каналы связи в случае падения одного из них.

- Вектор заражения: Для распространения используются самораспаковывающиеся архивы (SFX) и эксплойты для архиватора WinRAR (включая свежие CVE), позволяющие запускать код при открытии архива.

Источник

⬇️Поддержать автора⬇️

✅SBER: 2202 2050 1464 4675