Геополитический конфликт как катализатор: государственные хакеры атакуют Ближний Восток под прикрытием новостей

Стратегия эксплуатации момента

Основной вектор всех зафиксированных атак - фишинг, нацеленный на сотрудников государственных учреждений Ближнего Востока. Злоумышленники искусно вплетают в письма актуальные и эмоционально заряженные темы: от гибели верховного лидера Ирана до подготовки ударов по нефтегазовой инфраструктуре или формирования военного альянса против Тегерана. Это резко повышает правдоподобность сообщений и побуждает цель к немедленным действиям. Кроме того, для усиления доверия атакующие массово используют скомпрометированные почтовые ящики реальных министерств иностранных дел или по чрезвычайным ситуациям, например, Ирака и Сирии. Такой подход значительно затрудняет фильтрацию спама и обходит базовые проверки отправителя.

Разнообразие технических подходов и полезных нагрузок

Каждая из кампаний демонстрирует уникальные технические особенности, адаптированные под цели. Например, группа UNK_InnerAmbush, связываемая с Китаем, рассылала письма со ссылками на архив в Google Drive. Внутри архива находились файлы ярлыков (LNK), замаскированные под изображения, которые запускали многоступенчатый процесс загрузки. Вредоносная цепочка через уязвимость подмены DLL (DLL sideloading) в легитимном подписанном файле в итоге разворачивала в памяти модифицированный бекдор Cobalt Strike - фреймворк для пентеста, часто используемый APT-группами для удаленного доступа. Примечательно, что в письма были встроены уникальные пиксели отслеживания на скомпрометированном сайте, позволявшие злоумышленникам фиксировать факт открытия письма конкретным адресатом.

Другая кампания, UNK_RobotDreams, вероятно пакистанского происхождения, использовала более сложную схему с геофильтрацией. Целевым получателям в Индии письмо с вложенным PDF-файлом приходило от поддельного адреса, имитирующего МИД Индии. Кнопка в PDF вела на управляемый злоумышленниками сайт, который, анализируя IP-адрес посетителя, либо показывал безобидный документ (для всех остальных), либо загружал исполняемый файл. Этот загрузчик, в свою очередь, с помощью PowerShell получал из облачной инфраструктуры Microsoft Azure бэкдор, написанный на языке Rust, что указывает на высокий уровень технической подготовки авторов.

Сбор учетных данных как основная цель

Несколько кампаний, включая TA402 и новую группу UNK_NightOwl, были нацелены исключительно на кражу логинов и паролей. Их тактика включала создание фишинговых страниц, в деталях копирующих интерфейс веб-приложений Microsoft Outlook (OWA) или OneDrive. Ссылки на эти страницы маскировались под легитимные и содержали уникальные идентификаторы для каждой жертвы. После ввода учетных данных жертва часто перенаправлялась на реальный новостной сайт, освещающий конфликт, что создавало иллюзию корректной работы и не вызывало немедленных подозрений. Такой фокус на учетных данных позволяет получить мгновенный доступ к корпоративной переписке и внутренним системам, что для разведки часто ценнее, чем установка сложного вредоносного ПО.

Сдвиг в приоритетах разведки

Особого внимания заслуживает активность белорусской группы TA473, известной также как Winter Vivern. Ранее эта группа специализировалась на атаках в Европе, однако в начале марта она начала таргетировать правительственные организации Ближнего Востока, рассылая письма от имени спикера председателя Европейского совета. Это явный признак того, что геополитический кризис заставляет государственные группы оперативно пересматривать и расширять списки целей для сбора стратегической информации. Аналогично, единственная пока зафиксированная кампания иранской группы TA453 против американского аналитического центра показывает, что даже в условиях войны и ограничений интернета внутри страны, иранские хакеры продолжают долгосрочные операции по сбору разведданний, не меняя своих традиционных методов.

Выводы и рекомендации для специалистов по безопасности

Текущая ситуация наглядно демонстрирует, как реальные мировые события становятся мощным инструментом в руках киберразведок. Конфликт используется двояко: и как удобный тематический фон для стандартных операций, и как прямой стимул для активизации шпионажа против новых целей в эпицентре кризиса. Для организаций, особенно дипломатических и государственных в регионе Ближнего Востока и за его пределами, это означает резкое повышение уровня угроз. В качестве защитных мер необходимо усилить обучение сотрудников по распознаванию целевого фишинга, обращающегося к актуальным новостным поводам. Критически важно внедрить строгую многофакторную аутентификацию (MFA) для доступа ко всем критическим сервисам, особенно к веб-почте, что нейтрализует большинство атак на креденциалы. Также следует ужесточить политики фильтрации вложений и внешних ссылок в почте, обращая особое внимание на письма, якобы отправленные с официальных государственных доменов, и проводить регулярные упражнения по реагированию на инциденты, моделирующие подобные сложные многоэтапные атаки.

IPv4

• 72.60.90.32

Domains

• almersalstore.com
• defenceprodindia.site
• endpoint1-b0ecetbuabcdg9cp.z01.azurefd.net
• iwsmailserver.com
• support.almersalstore.com
• transfergocompany.com
• unityprogressall.org

URLs

• https://1drv.ms/b/c/cbec61ab8028f986/IQDa9igU3D3BRqiyNtth76AzAbOM6jUpa8apnuRl-zKXKow?e=E8bIfd
• https://defenceprodindia.site/server.php?file=Reader_en_install
• https://endpoint1-b0ecetbuabcdg9cp.z01.azurefd.net:443/download.php?file=cnVzdHVwaW5pdA
• https://iran.dashboard.1drvms.store/errors/sessionerrors/expire?client=[redacted]
• https://mail.iwsmailserver.com/owa/auth/logon.aspx?uid=
• https://unityprogressall.org/imagecontent/getimgcontent.php?id=

Emails

• ali.mo@med.gov.sy
• ban.ali@mofa.gov.iq
• jscop.mea.gov.in@outlook.com
• maria.tomasik@denika.se
• McManus.Michael@hotmail.com
• nqandeel04@gmail.com
• uzbembish@elcat.kg
• war.analyse.ltd@outlook.com

SHA256

• 14efa1194cc4c6aa5585d63c032268794364123d41a01121cbd5e56f7c313399
• 16db04b632668dae081359fc07c97e5a9b79dad61713642e48b494aa6b7828be
• 4b9661092051839496c04169ccb52b659c0f65cefd14a990e23565a0c0e8eeaf
• 7b6d69a249fe2adf43eefc31cdeca62cf48ab428fcbf199322feeb99d24fb001
• 9477d9cd1435dc465b4047745e9c71103a114d65ed0d5f02ac3c97ac3f1dbf47
• a8acb9864e6f64323ed75e69038ca9bfe76f7b1b0d24ec7df8ac07b6dbd641a3
• a9de383c6a1b00c9bd5a09ef87440d72ec7fc4bcd781207b3cace2f246788d4d
• a9f4f4bc12896d0f0d2eeff02dd3e3e1c1406d8a6d22d59aa85f151d806ba390
• b58ec14b0119182aef12d153280962ad76c30e3cd67533177d55481704eba705
• d518262dd687a48f273966853f3ed4eb7404eb918b165bb71ff83f75962c0104
• dfaaaf75147afbd57844382c953ec7ef36f68a9c17c66a47a847279a6b1109c9
• ea1d98a41ad9343d017fa72f4baeeca0daa688bec6e0508e266c5e37e9d330de
• fed6ebb87f7388adf527076b07e81dfa432bac4e899b0d7af17b85cc0205ffad