Государственные киберпреступные группировки из стран, не участвующих в боевых действиях, используют войну Израиля против Ирана в своих целях, согласно аналитикам Proofpoint. — computerweekly.com
Государственные киберпреступные группировки из таких стран, как Беларусь, Китай и Пакистан, активизировали свою деятельность на фоне совместной израильско-американской атаки на Иран, даже несмотря на то, что их правительственные кураторы напрямую не вовлечены в войну. Об этом свидетельствуют данные разведки, опубликованные Proofpoint, которая утверждает, что зафиксировала несколько подобных кампаний в реальных условиях. По мнению компании, эта волна вредоносной активности отражает сочетание факторов: одни угрозы используют конфликт как возможность для создания приманок в своих рутинных операциях, другие же связаны со сбором разведывательной информации, направленной непосредственно против правительств Ближнего Востока и их союзников. «Эти кампании проводились как известными группами, так и ранее не замеченными акторами, с предполагаемой атрибуцией Китаю, Беларуси, Пакистану и ХАМАС», — написала исследовательская группа Proofpoint. «Кампании в значительной степени опирались на аспекты конфликта в качестве актуального контента-приманки для вовлечения целей и часто использовали скомпрометированные учетные записи правительственных организаций для рассылки фишинговых писем», — заявили они. В одной из таких кампаний белорусский угрожающий актор TA473, или Winter Vivern, выдавал себя за представителя президента Европейского совета, распространяя заявление о позиции Европейского союза (ЕС) по правам человека, региональной безопасности и предполагаемому оружию массового уничтожения Ирана. Сообщение было отправлено правительственным организациям в Европе и на Ближнем Востоке — это первый случай, когда Winter Vivern нацелился на Ближний Восток, — и содержало HTML-файл, который при открытии отображал изображение-приманку, одновременно выполняя фоновый HTTP-запрос. Однако, по данным Proofpoint, на данный момент этот запрос, скорее всего, предназначен только для целей отслеживания целей, поскольку компания не обнаружила и не получила никаких полезных нагрузок следующего этапа. В то же время связанный с Китаем актор UNK_InnerAmbush проводил фишинговую операцию, нацеленную на дипломатов и государственных чиновников в регионе. Используя скомпрометированный адрес электронной почты, он использовал смерть аятоллы Хаменеи в качестве приманки, якобы делясь «секретными снимками с места событий», полученными через Государственный департамент США — что должно было стать очевидным для любого, кто знаком с американской политикой, поскольку внешнеполитическими вопросами США занимается именно Государственный департамент.
Снимки ударов
Несколько дней спустя UNK_InnerAmbush переключился на изображения ударов Израиля по объектам иранской топливной инфраструктуры, которые спровоцировали крупную экологическую катастрофу, — но во всех случаях изображения на самом деле были замаскированными файлами ярлыков Microsoft (LNK), размещенными в защищенном паролем ZIP- или RAR-архиве на Google Drive. При открытии они запускали исполняемые файлы, которые расшифровывали полезные нагрузки Cobalt Strike command and control (C2) и загружали их в память. Тем временем, несмотря на неучастие их правительств, связанный с Пакистаном актор UNK_RobotDreams нацеливался на офисы правительственных организаций Ближнего Востока в соседней Индии, выдавая себя за Министерство иностранных дел Индии — что, по крайней мере, является корректной терминологией — с фишинговыми письмами, якобы информирующими о последствиях войны для безопасности. Эти электронные письма содержали размытое изображение-приманку в формате PDF и поддельную кнопку Adobe Reader, которая при открытии перенаправляла на управляемый злоумышленниками URL-адрес, использовавший геофенсинг для доставки зараженного исполняемого файла целевым объектам. Исполняемый файл функционировал как .NET-загрузчик, который извлекал бэкдор на Rust с C2-хоста актора через PowerShell. «В то время как несколько из этих групп включали контент-приманки на военную тематику в операции, которые в основном соответствуют типичным целям нацеливания, другие продемонстрировали сдвиг в сторону сбора разведывательной информации против государственных и дипломатических структур Ближнего Востока», — написала исследовательская группа Proofpoint. «Это, вероятно, отражает усилия по сбору региональной информации о положении, траектории и более широких геополитических последствиях конфликта. Это говорит о том, что конфликт используется как в качестве актуального предлога для социальной инженерии, так и в качестве движущей силы для определения приоритетов сбора данных для целого ряда государственных акторов».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton