Компания Check Point Research недавно обнаружила новые семейства вредоносных программ под названиями «Veaty» и «Spearal» в кампании, направленной на иракские организации, включая правительственные сети.
Hazel Sandstorm (APT34) APT
Вредоносное ПО, используемое в этих атаках, применяет такие сложные методы, как пассивный бэкдор Internet Information Services (IIS), туннелирование DNS и командно-административная связь (C2) через скомпрометированные учетные записи электронной почты. Этот канал C2, использующий зараженные учетные записи электронной почты в целевых организациях, указывает на то, что злоумышленникам удалось проникнуть в сети жертв. Кампания имеет сходство с предыдущими атаками, приписываемыми APT34 (Hazel Sandstorm), связанной с иранским MOIS группе угроз, известной своими операциями на Ближнем Востоке.
Недавно обнаруженная вредоносная программа «Spearal» представляет собой бэкдор на базе .NET, который взаимодействует через DNS-туннелирование. Он кодирует данные в поддоменах DNS-запросов с помощью пользовательской схемы Base32. «Veaty», еще один бэкдор на базе .NET, использует взломанные учетные записи электронной почты для C2-коммуникаций и применяет несколько тактик для обхода обнаружения, например отключение проверки сертификатов SSL/TLS. Вредоносная программа использует специальные правила и конфигурации для перемещения связанных с командами писем в скрытые папки, что сводит к минимуму вероятность обнаружения.
Первоначальный вектор заражения - файлы, замаскированные под вложения легитимных документов и использующие двойные расширения вроде «Avamer.pdf.exe» или «Protocol.pdf.exe», чтобы обмануть пользователей. После выполнения эти файлы разворачивают вредоносное ПО с помощью скриптов PowerShell или Pyinstaller, которые манипулируют записями реестра и временными метками файлов для сохранения. Кроме того, в набор инструментов кампании входит новый вариант бэкдора для IIS под названием «CacheHttp.dll», который, вероятно, развился из более старых версий, таких как «RGDoor», что свидетельствует о постоянной адаптации и совершенствовании методов злоумышленников.
По данным CheckPoint Research, тактика, техника и процедуры (TTP), использованные в этой кампании, тесно перекликаются с тактикой, техникой и процедурами известных семейств вредоносного ПО APT34, таких как Karkoff и Saitama. Эти инструменты имеют сходство в структуре кода и функциональности, включая DNS и туннелирование на основе электронной почты для связи C2. Скоординированное использование этих передовых инструментов и уникальных методов C2 подчеркивает целенаправленные и настойчивые усилия иранских злоумышленников против инфраструктуры иракского правительства.
Indicators of Compromise
Domains
- iqwebservice.com
- mofaiq.com
MD5
- 0f9d0b03254830714654c2ceb11a7f5d
- 1f1aaaf32be03ae7beb9d49f02de7669
- 2badde184d78ed901b4b2282b285717c
- 4f4a06f63d34881d88cd70552e909748
- 58e67cdc9ef57805f45ba554bdccb3b1
- 66126dc088be2699fd55ae7eff5e6e15
- 70ff5d4fc9957abff4c5577e22b3da27
- 79cc8730d748a884cc666b95ee9fed36
- 7b62b055285b1c08e11ac98b3d3954bc
- 85f025474271fbcc43af1e2203d10b66
- 8afdfd6d035b3c616dc37894a15206b4
- a70a7cfae52304a36fe1547b5a441d7a
- a79e4424116dc0a76a179507ac914578
- b1c93c7f5d89996d64a7f933f138e8b0
- b5de3c4c582db7c2d2ce31c67cba0510
- b817309621e43004b9f32c96d52dc2a0
- d542b320b10d443a454c305e9818f5f6
- d56b5fd6b8976c91d2537d155926afff
- fb164cdf119b0d4427bdcb51b45075b1
