Исследователи компании Trend Micro обнаружили кампанию кибершпионажа, организованную Earth Simnavaz, также известной как APT34 (Hazel Sandstorm), направленную на правительственные организации в ОАЭ и странах Персидского залива.
Earth Simnavaz (APT34) APT
Группа использует сложную тактику для сохранения устойчивости и утечки конфиденциальных данных, применяя бэкдор, который использует серверы Microsoft Exchange для кражи учетных данных и использует уязвимости, такие как CVE-2024-30088, для повышения привилегий. Они используют сочетание специализированных инструментов .NET, скриптов PowerShell и вредоносных программ на базе IIS, таких как бэкдор Karkoff, для смешивания вредоносной активности с обычным сетевым трафиком и уклонения от обнаружения.
Первоначальный метод проникновения включает загрузку веб-оболочки на уязвимый веб-сервер, что позволяет выполнять код PowerShell и передавать файлы для расширения плацдарма. Затем злоумышленники загружают инструмент удаленного управления ngrok, чтобы облегчить латеральное перемещение и добраться до контроллера домена. Группа регистрирует DLL-библиотеку фильтра паролей для перехвата изменений паролей и утечки зашифрованных учетных данных через легитимные правительственные серверы Exchange с помощью инструмента, обозначенного как STEALHOOK. Они также используют запланированную задачу, выполняющую скрипт под названием «u.ps1» для сохранения данных, и, как известно, заменяют этот скрипт на нефункциональный, чтобы помешать расследованию.
Indicators of Compromise
SHA256
- 1169d8fe861054d99b10f7a3c87e3bbbd941e585ce932e9e543a2efd701deac2
- 1d2ff65ac590c8d0dec581f6b6efbf411a2ce5927419da31d50156d8f1e3a4ff
- 27a0e31ae16cbc6129b4321d25515b9435c35cc2fa1fc748c6f109275bee3d6c
- 43c83976d9b6d19c63aef8715f7929557e93102ff0271b3539ccf2ef485a01a7
- 54e8fbae0aa7a279aaedb6d8eec0f95971397fea7fcee6c143772c8ee6e6b498
- 6d8bdd3e087b266d493074569a85e1173246d1d71ee88eca94266b5802e28112
- 6e4f237ef084e400b43bc18860d9c781c851012652b558f57527cf61bee1e1ef
- 7ebbeb2a25da1b09a98e1a373c78486ed2c5a7f2a16eec63e576c99efe0c7a49
- 98fb12a9625d600535df342551d30b27ed216fed14d9c6f63e8bf677cb730301
- a24303234e0cc6f403fca8943e7170c90b69976015b6a84d64a9667810023ed7
- abfc8e9b4b02e196af83608d5aaef1771354b32c898852dff532bd8cfd2ce59d
- af979580849cc4619b815551842f3265b06497972c61369798135145b82f3cd8
- b3257f0c0ef298363f89c7a61ab27a706e9e308c22f1820dc4f02dfa0f68d897
- c0189edde8fa030ff4a70492ced24e325847b04dba33821cf637219d0ddff3c9
- ca98a24507d62afdb65e7ad7205dfe8cd9ef7d837126a3dfc95a74af873b1dc5
- db79c39bc06e55a52741a9170d8007fa93ac712df506632d624a651345d33f91
- edfae1a69522f87b12c6dac3225d930e4848832e3c551ee1e7d31736bf4525ef
