В течение последнего года компания Mandiant отслеживала UNC3890 - кластер активности, направленный на израильские судоходные, правительственные, энергетические и медицинские организации с помощью приманок социальной инженерии.
UNC3890 APT
Mandiant с умеренной уверенностью считает, что этот агент связан с Ираном, что примечательно, учитывая сильный акцент на судоходстве и продолжающийся морской конфликт между Ираном и Израилем. Хотя мы считаем, что этот субъект сосредоточен на сборе разведданных, собранные данные могут быть использованы для поддержки различных видов деятельности, от взлома и утечки до обеспечения атак кинетической войны, подобных тем, которые в последние годы поразили судоходную отрасль.
Mandiant с умеренной уверенностью считает, что UNC3890 занимается шпионажем и сбором разведданных для поддержки многочисленных иранских интересов и операций. Целевые схемы указывают на сильный интерес к израильским предприятиям и организациям различных секторов, включая правительство, судоходство, энергетику и здравоохранение. Мы обнаружили несколько ограниченных технических связей с Ираном, таких как PDB-строки и артефакты на языке фарси.
Эта кампания активна по крайней мере с конца 2020 года и продолжается по состоянию на середину 2022 года, и хотя она носит региональный характер, ее объектами являются глобальные компании.
UNC3890 использует как минимум два уникальных инструмента: бэкдор - SUGARUSH, и кражу учетных данных из браузера, которая выводит украденные данные через почтовые службы Gmail, Yahoo и Yandex - SUGARDUMP. UNC3890 также использует несколько общедоступных инструментов, таких как фреймворк METASPLOIT и NorthStar C2.
Кроме того, Mandiant обнаружила, что UNC3890 управляет взаимосвязанной сетью командно-контрольных (C2) серверов. На серверах C2 размещены домены и фальшивые страницы входа, подделывающие законные сервисы, такие как Office 365, социальные сети, такие как LinkedIn и Facebook, а также фальшивые предложения о работе и фальшивая реклама роботов-кукол на базе искусственного интеллекта. Mandiant наблюдали, как серверы C2 общались с несколькими целями, а также с "водопоем", который был нацелен на израильский сектор морских перевозок, в частности на организации, занимающиеся обработкой и отправкой чувствительных компонентов.
Атрибуция
Mandiant использует обозначение "UNC" - или "некатегоризированные" группы - для обозначения кластера активности вторжения, включающего наблюдаемые артефакты, такие как инфраструктура противника, инструменты и технические средства, которые еще не готовы классифицировать как TEMP, APT или FIN. Mandiant не обнаружила значительных связей между UNC3890 и другими кластерами деятельности, которые мы отслеживаем в настоящее время, и поэтому рассматривает его как отдельную группу. Тем не менее, мы выявили несколько связей, указывающих на то, что эта деятельность осуществляется группой, связанной с Ираном:
- Использование слов на фарси, что наблюдается в строках, оставленных разработчиками в новейшей версии SUGARDUMP, например, "KHODA" (слово на фарси, означающее "Бог") и "yaal" (слово на фарси, означающее гриву лошади).
- Целенаправленное нападение на израильские субъекты и организации или организации, действующие в Израиле, в соответствии с другими группами активности иранских субъектов угрозы, в частности UNC757.
- Использование того же пути PDB, что и в другом иранском кластере активности, который Mandiant отслеживает как UNC2448 (управляемый иранским КСИР, согласно открытым источникам), публично упомянутый в заявлении правительства США от 17 ноября 2021 года. В ряде публикаций высказывалось предположение, что UNC2448 связан с кластером деятельности APT35/Charming Kitten, который, согласно нескольким открытым источникам, управляется иранским Корпусом стражей исламской революции (КСИР). UNC2448 атакует израильские организации, а также другие страны, представляющие интерес для Ирана.
- Использование NorthStar C2 Framework - системы C2, которую предпочитают другие иранские субъекты. Однако, поскольку эта система находится в открытом доступе и используется многими субъектами.
Мишень
В конце 2021 года компания Mandiant обнаружила, что UNC3890 нацелен на израильские организации и проявляет интерес к различным секторам, включая правительство, судоходство, энергетику, авиацию и здравоохранение. Несмотря на то, что наблюдаемые целевые действия направлены на Израиль, некоторые из организаций, на которые нацелился UNC3890, особенно в секторе морских перевозок, являются глобальными компаниями. Таким образом, потенциальное воздействие деятельности UNC3890, описанное в этом блоге, может выйти за пределы Израиля. Эта деятельность соответствует историческому интересу Ирана к этим целям. Модели таргетинга и приманки, используемые UNC3890, указывают на попытку замаскировать их деятельность под законные действия по входу в систему, законные услуги и приложения социальных сетей, а также связанный с технологиями визуальный контент.
Indicators of Compromise
IPv4
- 104.237.155.129
- 128.199.6.246
- 143.110.155.195
- 144.202.123.248
- 146.185.219.88
- 159.223.164.185
- 161.35.123.176
- 185.170.215.170
Domains
- aspiremovecentraldays.net
- celebritylife.news
- fileupload.shop
- lirıkedin.com
- naturaldolls.store
- office365update.live
- pfizerpoll.com
- rnfacebook.com
- xn--lirkedin-vkb.com
- xxx-doll.com
MD5
- 084ad50044d6650f9ed314e99351a608
- 08dc5c2af21ecee6f2b25ebdd02a9079
- 2a09c5d85667334d9accbd0e06ae9418
- 2fe42c52826787e24ea81c17303484f9
- 37bdb9ea33b2fe621587c887f6fb2989
- 3b2a719ffb12a291acbfe9056daf52a7
- 3f045ebb014d859a4e7d15a4cf827957
- 532f5c8a85b706ccc317b9d4158014bf
- 639f83fa4265ddbb43e85b763fe3dbac
- 6dbd612bbc7986cf8beb9984b473330a
- 9c8788e7ae87ae4f46bfe5ba7b7aa938
- a7a2d6a533b913bc50d14e91bcf6c716
- ae0a16b6feddd53d1d52ff50d85a42d5
- c5116a9818dcd48b8e9fb1ddf022df29
- d47bbec805c00a549ab364d20a884519
- d528e96271e791fab5818c01d4bc139f
- d5671df2af6478ac108e92ba596d5557
- d8fb3b6f5681cf5eec2b89be9b632b05
- e125ed072fc4529687d98cf4c62e283e
- f362a2d9194a09eaca7d2fa04d89e1e5
- f538cb2e584116a586a50d607d517cfd
- f97c0f19e84c79e9423b4420531f5a25
- fcc09a4262b9ca899ba08150e287caa9