Компания Mandiant опубликовала сообщение в своем блоге о предполагаемой шпионской деятельности, связанной с Ираном, направленной на аэрокосмическую, авиационную и оборонную промышленность в странах Ближнего Востока, включая Израиль и Объединенные Арабские Эмираты (ОАЭ), а также Турцию, Индию и Албанию. Деятельность, которая угрожает безопасности данных и поставки оборонных систем, приписывается иранскому агенту UNC1549, который связан с Tortoiseshell - группой, связанной с Корпусом стражей исламской революции Ирана (КСИР). Эта деятельность началась в июне 2022 года и продолжается в настоящее время. Она характеризуется использованием различных методов для маскировки своей деятельности, включая облачную инфраструктуру Microsoft Azure и социальную инженерию для распространения вредоносного ПО MINIBIKE и MINIBUS.
Примечательно, что эта кампания маскируется под движение "Верните их домой сейчас", которое призывает к возвращению израильтян, похищенных и удерживаемых в заложниках ХАМАСом. Специалисты Mandiant обнаружили, что кампания UNC1549 использует поддельные веб-сайты по подбору персонала и поддельные приложения, связанные с ХАМАСом, для доставки вредоносного ПО MINIBUS.
Mandiant установила связь между UNC1549 и КСИР, а также отметила сходство методов этой кампании с другими группами, связанными с Ираном, что свидетельствует о целенаправленной атаке на ближневосточные организации, связанные с оборонным и аэрокосмическим секторами. Компания предупреждает, что эта деятельность остается активной и может использоваться для шпионажа и кинетических операций. Методы уклонения, используемые в этой кампании, затрудняют обнаружение и предотвращение атаки.
Indicators of Compromise
Domains
- 1stemployer.com
- airconnectionapi.azurewebsites.net
- airconnectionsapi.azurewebsites.net
- airconnectionsapijson.azurewebsites.net
- airgadgetsolution.azurewebsites.net
- airgadgetsolutions.azurewebsites.net
- altnametestapi.azurewebsites.net
- answerssurveytest.azurewebsites.net
- apphrquestion.azurewebsites.net
- apphrquestions.azurewebsites.net
- apphrquizapi.azurewebsites.net
- arquestions.azurewebsites.net
- arquestionsapi.azurewebsites.net
- audiomanagerapi.azurewebsites.net
- audioservicetestapi.azurewebsites.net
- birngthemhomenow.co.il
- blognewsalphaapijson.azurewebsites.net
- blogvolleyballstatus.azurewebsites.net
- blogvolleyballstatusapi.azurewebsites.net
- boeisurveyapplications.azurewebsites.net
- browsercheckap.azurewebsites.net
- browsercheckingapi.azurewebsites.net
- browsercheckjson.azurewebsites.net
- cashcloudservices.com
- changequestionstypeapi.azurewebsites.net
- changequestionstypejsonapi.azurewebsites.net
- changequestiontypes.azurewebsites.net
- changequestiontypesapi.azurewebsites.net
- checkapicountryquestions.azurewebsites.net
- checkapicountryquestionsjson.azurewebsites.net
- checkservicecustomerapi.azurewebsites.net
- coffeeonlineshop.azurewebsites.net
- coffeeonlineshoping.azurewebsites.net
- connectairapijson.azurewebsites.net
- connectionhandlerapi.azurewebsites.net
- countrybasedquestions.azurewebsites.net
- customercareservice.azurewebsites.net
- customercareserviceapi.azurewebsites.net
- emiratescheckapi.azurewebsites.net
- emiratescheckapijson.azurewebsites.net
- engineeringrssfeed.azurewebsites.net
- engineeringssfeed.azurewebsites.net
- exchtestcheckingapi.azurewebsites.net
- exchtestcheckingapihealth.azurewebsites.net
- flighthelicopterahtest.azurewebsites.net
- helicopterahtest.azurewebsites.net
- helicopterahtests.azurewebsites.net
- helicoptersahtests.azurewebsites.net
- hiringarabicregion.azurewebsites.net
- homefurniture.azurewebsites.net
- hrapplicationtest.azurewebsites.net
- humanresourcesapi.azurewebsites.net
- humanresourcesapijson.azurewebsites.net
- humanresourcesapiquiz.azurewebsites.net
- iaidevrssfeed.centralus.cloudapp.azure.com
- iaidevrssfeed.centrualus.cloudapp.azure.com
- iaidevrssfeed.cloudapp.azure.com
- iaidevrssfeedp.cloudapp.azure.com
- identifycheckapplication.azurewebsites.net
- identifycheckapplications.azurewebsites.net
- identifycheckingapplications.azurewebsites.net
- ilengineeringrssfeed.azurewebsites.net
- integratedblognewfeed.azurewebsites.net
- integratedblognews.azurewebsites.net
- integratedblognewsapi.azurewebsites.com
- integratedblognewsapi.azurewebsites.net
- intengineeringrssfeed.azurewebsites.net
- intergratedblognewsapi.azurewebsites.net
- javaruntime.azurewebsites.net
- javaruntimestestapi.azurewebsites.net
- javaruntimetestapi.azurewebsites.net
- javaruntimeversionchecking.azurewebsites.net
- javaruntimeversioncheckingapi.azurewebsites.net
- jupyternotebookcollection.azurewebsites.net
- jupyternotebookcollections.azurewebsites.net
- jupyternotebookcollections.com
- jupyternotebookscollection.azurewebsites.net
- logsapimanagement.azurewebsites.net
- logsapimanagements.azurewebsites.net
- logupdatemanagementapi.azurewebsites.net
- logupdatemanagementapijson.azurewebsites.net
- manpowerfeedapi.azurewebsites.net
- manpowerfeedapijson.azurewebsites.net
- marineblogapi.azurewebsites.net
- notebooktextchecking.azurewebsites.net
- notebooktextcheckings.azurewebsites.net
- notebooktextcheckings.com
- notebooktexts.azurewebsites.net
- onequestions.azurewebsites.net
- onequestionsapi.azurewebsites.net
- onequestionsapicheck.azurewebsites.net
- openapplicationcheck.azurewebsites.net
- optionalapplication.azurewebsites.net
- personalitytestquestionapi.azurewebsites.net
- personalizationsurvey.azurewebsites.net
- qaquestionapi.azurewebsites.net
- qaquestions.azurewebsites.net
- qaquestionsapi.azurewebsites.net
- qaquestionsapijson.azurewebsites.net
- queryfindquestions.azurewebsites.net
- queryquestions.azurewebsites.net
- questionsapplicationapi.azurewebsites.net
- questionsapplicationapijson.azurewebsites.net
- questionsapplicationbackup.azurewebsites.net
- questionsdatabases.azurewebsites.net
- questionsurveyapp.azurewebsites.net
- questionsurveyappserver.azurewebsites.net
- quiztestapplication.azurewebsites.net
- refaeldevrssfeed.centralus.cloudapp.azure.com
- regionuaequestions.azurewebsites.net
- registerinsurance.azurewebsites.net
- roadmapselector.azurewebsites.net
- roadmapselectorapi.azurewebsites.net
- sportblogs.azurewebsites.net
- surveyappquery.azurewebsites.net
- surveyonlinetest.azurewebsites.net
- surveyonlinetestapi.azurewebsites.net
- technewsblogapi.azurewebsites.net
- teledyneflir.com.de
- testmanagementapi1.azurewebsites.net
- testmanagementapis.azurewebsites.net
- testmanagementapisjson.azurewebsites.net
- testquestionapplicationapi.azurewebsites.net
- testtesttes.azurewebsites.net
- tiappschecktest.azurewebsites.net
- tnlsowki.westus3.cloudapp.azure.com
- tnlsowkis.westus3.cloudapp.azure.com
- turkairline.azurewebsites.net
- uaeaircheckon.azurewebsites.net
- uaeairchecks.azurewebsites.net
- vscodeupdater.azurewebsites.net
- vsliveagent.com
- workersquestions.azurewebsites.net
- workersquestionsapi.azurewebsites.net
- workersquestionsjson.azurewebsites.net
- xboxplayservice.com
MD5
- 01cbaddd7a269521bf7b80f4a9a1982f
- 054c67236a86d9ab5ec80e16b884f733
- 05fcace605b525f1bece1813bb18a56c
- 0a739dbdbcf9a5d8389511732371ecb4
- 1d8a1756b882a19d98632bc6c1f1f8cd
- 2c4cdc0e78ef57b44f11f7ec2f6164cd
- 36e2d9ce19ed045a9840313439d6f18d
- 3b658afa91ce3327dbfa1cf665529a6d
- 409c2ac789015e76f9886f1203a73bc0
- 4a223bc9c6096ac6bae3e7452ed6a1cd
- 4ed5d74a746461d3faa9f96995a1eec8
- 601eb396c339a69e7d8c2a3de3b0296d
- 664cfda4ada6f8b7bb25a5f50cccf984
- 68f6810f248d032bbb65b391cdb1d5e0
- 691d0143c0642ff783909f983ccb8ffd
- 710d1a8b2fc17c381a7f20da5d2d70fc
- 75d2c686d410ec1f880a6fd7a9800055
- 816af741c3d6be1397d306841d12e206
- 89107ce5e27d52b9fa6ae6387138dd3e
- 909a235ac0349041b38d84e9aab3f3a1
- a5e64f196175c5f068e1352aa04bc5fa
- a5fdf55c1c50be471946de937f1e46dd
- aaef98be8e58be6b96566268c163b6aa
- adef679c6aa6860aa89b775dceb6958b
- bfd024e64867e6ca44738dd03d4f87b5
- c12ff86d32bd10c6c764b71728a51bce
- c3830b1381d95aa6f97a58fd8ff3524e
- c51bc86beb9e16d1c905160e96d9fa29
- c5dc2c75459dc99a42400f6d8b455250
- cf32d73c501d5924b3c98383f53fda51
- d94ffe668751935b19eaeb93fed1cdbe
- e3dc8810da71812b860fc59aeadcc350
- e9ed595b24a7eeb34ac52f57eeec6e2b
- eadbaabe3b8133426bcf09f7102088d4
- ec6a0434b94f51aa1df76a066aa05413
- ef262f571cd429d88f629789616365e4
- f58e0dfb8f915fa5ce1b7ca50c46b51b