После того, как в 2010 году Stuxnet нанес удар по ядерной программе Ирана, Иран начал инвестировать и совершенствовать свои возможности ведения кибервойн. С этого переломного момента иранские хакерские группировки выросли и стали более опасными для кибермира. Их опасность заключается не только в разрушительных атаках; иранские киберпреступные группы используют кампании кибершпионажа не меньше, чем кибератаки.
Основная деятельность Ирана в области кибершпионажа началась примерно с Madi - шпионской программы, запущенной в 2012 году и направленной на руководителей предприятий, работающих с критически важной инфраструктурой, и государственных чиновников Ближнего Востока. После этого иранские угрожающие субъекты, в частности, группы, причисленные к передовым постоянным угрозам (APT), такие как APT35 и APT39 (Remix Kitten), стали известны в мире благодаря своим атакам кибершпионажа. Эти атаки имеют значение для Ирана, поскольку считается, что их главная цель - повысить промышленный и военный потенциал Ирана.
APT42
Недавно, в июле 2022 года, иранская угроза APT42 провела кибератаку на правительство Албании. В сентябре 2022 года компания Mandiant опубликовала отчет, в котором подробно описала APT42, по крайней мере, 30 подтвержденных операций кибершпионажа, начиная с 2015 года. APT42 - также известная как Crooked Charms и TA453 - является группой кибершпионажа, связанной с Ираном. Группа предположительно связана с разведывательной организацией Корпуса стражей исламской революции (КСИР) (IRGC-IO) и действует от их имени. Группа, похоже, в основном сосредоточена на атаках spearphishing, которые представляют собой тип фишинговых атак, направленных на лиц или организации, известные как высокопоставленные или играющие определенную роль. Использование имперсонации для того, чтобы выглядеть как доверенное лицо во время своих атак, отличает группу от других иранских APT-групп.
APT42 повторяет схему действий других киберпреступных групп, спонсируемых иранским государством. Группа фокусируется на регионе Ближнего Востока. В основном их целью являются лица и организации, особенно заинтересованные в иранском правительстве или имеющие идеи, противоположные иранскому режиму.
Кроме того, группа нацелена на несколько конкретных секторов, а именно:
- Гражданское общество и некоммерческие организации
- Образование
- Здравоохранение
- Фармацевтика
- Производство
- СМИ
С 2015 года по настоящее время атаки APT42 были замечены в более чем 15 странах, включая США, Австралию, Германию, Великобританию и так далее.
Список вредоносных программ, используемых APT42
- BROKEYOLK
- GHAMBAR
- POWERPOST
- CHAIRSMACK
- MAGICDROP
- SILENTUPLOADER
- DOSTEALER
- PINEFLOWER
- TABBYCAT
- VINETHORN
- VBREVSHELL
- TAMECAT
Цикл атак APT42
На первом этапе своих операций группа использует спирфишинг, сбор учетных данных и внедрение вредоносного ПО. Помимо этих методов, APT42 также была замечена в использовании методов обхода MFA для получения первоначального доступа.
После успешного доступа группа регистрирует свой аутентификатор для устранения MFA. Кроме того, группа использует различные вредоносные программы, такие как GHAMBAR, BROKEYOLK, PINEFLOWER и т.д., чтобы закрепиться.
- GHAMBAR: GHAMBAR - это инструмент удаленного администрирования (RAT), написанный на языке C#. Он получает команды от сервера C2 (Command and Control) с помощью SOAP (Simple Object Access Protocol) API запросов по протоколу HTTP и может выполнять манипуляции с файловой системой, кейлоггинг, захват экрана, команды оболочки, загрузку и скачивание файла, а также выполнение плагинов.
- BROKEYOLK: BROKEYOLK - это вредоносная программа-загрузчик, разработанная с использованием .Net, которая загружает и выполняет файл из жестко заданного C2 с помощью запросов SOAP API по протоколу HTTP.
- PINEFLOWER: PINEFLOWER - это вредоносная программа для Android с множеством функций, таких как бэкдор, кража системной информации, запись звонков и чтение-отправка SMS-сообщений. Кроме того, PINEFLOWER может собирать данные отслеживания местоположения, скачивать, удалять и загружать файлы, а также считывать состояния подключения Wi-Fi, Bluetooth и мобильных данных.
APT42 обычно начинает очередную спирфишинговую атаку, используя скомпрометированные электронные письма своих жертв для части пути латерального перемещения. Во время этого цикла APT42 использует специальные вредоносные программы -CHAIRSMACK и GHAMBAR - для поддержания своего присутствия и продолжения операций, а также для получения дополнительной информации о жертве.
Indicators of Compromise
URLs
- http://hardship-management.com:4373/
- http://nvidia-update.com:5050/D6E90421-1C45-41A4-9250-3F18B9633CE
- http://tempuri.org/AbByCount
- http://tempuri.org/CmSById
- http://tempuri.org/HasF
- http://tempuri.org/IBuilder/AreYouAvaliable
- http://tempuri.org/ICcPluginUtils/InstallPlugin
- http://tempuri.org/ICcPluginUtils/UninstallPlugin
- http://tempuri.org/IdAbOne
- http://tempuri.org/IdCmOne
- http://tempuri.org/IMonitoring/GetPluginsInfo
- http://tempuri.org/IMonitoring/GetTargetKeylogs
- http://tempuri.org/IMonitoring/GetTargetsInfo
- http://tempuri.org/IMonitoring/TargetPluginsInfo
- http://tempuri.org/INew/RegisterNewPlugin
- http://tempuri.org/INew/RegisterNewUser
- http://tempuri.org/ITargetUtils/ImOnline
- http://tempuri.org/ITargetUtils/RegisterTarget
- http://tempuri.org/ITargetUtils/SendKeyLog
- http://tempuri.org/ITargetUtils/SendScreenshot
- http://tempuri.org/NameAbById
- http://tempuri.org/Set1
- http://update-driversonline.bid/img/WebService.asmx
- http://update-microsoft.bid/img/WebService.asmx
MD5
- 00b5d45433391146ce98cd70a91bef08
- df02a8a7cb2afb80cc2b789d96f02715
- f3d25b1cedf39beee751eb9b2d8d2376
SHA1
- 03d7ffd758e98c9a2c8c4716c93f09687000e22e
- 7649c554e87f6ea21ba86bb26ea39521d5d18151
- dbb64b0202bb4da6796279b5fa88262a6e31787e
SHA256
- 2c92da2721466bfbdaff7fedd9f3e8334b688a88ee54d7cab491e1a9df41258f
- 7a650d3b1e511a05d0441484c7c7df59a63003ce77cd4eb7081323fd79d2b9a3
- 90e5fa3f382c5b15a85484c17c15338a6c8dbc2b0ca4fb73c521892bd853f226