Исследователи кибербезопасности Hunt.io выявили признаки подготовки к возможной операции хакерской группировки APT34 (OilRig), связанной с Ираном. В период с ноября 2024 по апрель 2025 года отслеживалась сеть доменов и серверов, имитирующих иракский академический институт и фиктивные технологические компании из Великобритании.
Описание
Ключевые находки
- Поддельные домены: Основной домен biam-iraq[.]org копировал название реального учебного заведения в Ираке. Он переходил между серверами M247, демонстрируя признаки долгосрочной подготовки.
- Шаблонное поведение: Серверы отвечали на HTTP-запросы (порт 8080) фиктивной страницей с ошибкой 404 и заголовком «Document» — метод, ранее использовавшийся APT34.
- Повторяющиеся SSH-ключи: Один и тот же SSH-отпечаток применялся на нескольких серверах, что указывает на общую систему управления.
- Фальшивые компании: Дополнительные домены (.eu) выдавали себя за британские IT-фирмы («Sphere Spark», «BioVersa Dynamics»), но не имели реальных следов деятельности.
Группировка APT34 известна атаками на образовательные учреждения, энергетику и госструктуры. Несмотря на отсутствие активных вредоносных нагрузок, обнаруженная инфраструктура позволяет заранее выявлять угрозу.
Индикаторы компрометации
Содержание
IPv4
- 38.180.140.30
- 38.180.18.173
- 38.180.18.18
- 38.180.18.189
- 38.180.18.249
- 38.180.18.253
Domains
- axoryvexity.eu
- biam-iraq.org
- cpanel.biam-iraq.org
- cpcalendars.biam-iraq.org
- cpcontacts.biam-iraq.org
- mail.biam-iraq.org
- plenoryvantyx.eu
- valtorynexon.eu
- valtryventyx.eu
- webdisk.biam-iraq.org
- webmail.biam-iraq.org
- zyverantova.eu
SSH fingerprint
- 05ce787de86117596a65fff0bab767df2846d6b7fa782b605daeff70a6332eb0
