Главная страница » Индикаторы компрометации
0
9 дней
Индикаторы компрометации

Иранская APT-группа MuddyWater усиливает кибератаки с помощью мобильного шпионского ПО DCHSpy на фоне конфликта с Израилем

APT

Кибератаки остаются одним из ключевых инструментов гибридной войны, и текущий конфликт между Израилем и Ираном не стал исключением. Исследователи компании Lookout обнаружили четыре новых образца мобильного шпионского ПО DCHSpy, используемого иранской APT-группой MuddyWater, всего через неделю после начала военных столкновений. Это свидетельствует о том, что киберподразделения Ирана активно включились в информационное противостояние, нацеливаясь на сбор разведывательных данных через мобильные устройства.

Описание

DCHSpy представляет собой сложный инструмент для наблюдения за пользователями Android, который позволяет злоумышленникам получать доступ к конфиденциальной информации, включая переписку в WhatsApp, контакты, SMS-сообщения, файлы, местоположение устройства, журналы вызовов и даже возможность записывать аудио и делать фотографии через камеру. По данным Lookout, эта вредоносная программа разрабатывается и поддерживается группой MuddyWater, которая, предположительно, связана с Министерством разведки и безопасности Ирана (MOIS).

Особую тревогу вызывает то, что в новых образцах DCHSpy обнаружены признаки использования фейковых приложений, маскирующихся под VPN-сервисы, включая имитацию Starlink - компании, предоставлявшей интернет-доступ иранским пользователям во время отключений сети, организованных правительством. Это указывает на стратегию социальной инженерии: жертвам предлагают загрузить якобы полезные приложения, которые на самом деле являются шпионскими инструментами.

Анализ инфраструктуры, используемой DCHSpy, показал её совпадение с другой вредоносной программой - SandStrike, ранее применявшейся против последователей религии бахаи. Это подтверждает, что MuddyWater использует проверенные методы атак, адаптируя их под текущие политические и военные задачи. Распространение DCHSpy происходит через фишинговые ссылки в мессенджерах, таких как Telegram, где злоумышленники предлагают загрузить вредоносные VPN-приложения под вымышленными брендами, такими как EarthVPN и ComodoVPN.

Вредоносная страница распространения VPN от июня 2025 года, которая в первую очередь нацелена на активистов и журналистов по всему миру.

Эксперты отмечают, что в условиях эскалации конфликта иранские хакеры активизировали разработку новых функций для DCHSpy. В частности, появилась возможность выявлять и похищать конкретные файлы с устройств, а также собирать данные из мессенджеров. Собранная информация шифруется и передаётся на серверы управления через протокол SFTP.

Интересно, что атакующие используют не только технические, но и психологические методы. Так, распространяемые через Telegram поддельные VPN-приложения позиционируются как инструменты для обхода интернет-цензуры в Иране, что делает их привлекательными для активистов и журналистов. Это соответствует общей тактике MuddyWater, которая ранее уже применяла подобные схемы.

Иранские хакерские группы давно известны своей активностью в сфере мобильного шпионажа. Lookout отслеживает 17 различных семейств вредоносного ПО, связанных как минимум с 10 иранскими APT-группами. Например, в 2023 году была обнаружена программа BouldSpy, использовавшаяся иранскими правоохранительными органами для слежки за гражданами.

Текущие события подтверждают, что в период конфликтов кибератаки становятся важным элементом стратегий государств. Иран, судя по всему, наращивает цифровую разведку для мониторинга как внешних угроз, так и внутренней оппозиции. Lookout продолжает мониторить активность MuddyWater и предупреждать своих клиентов о новых угрозах, связанных с этой группой.

В условиях роста сложности и масштабов кибератак пользователям мобильных устройств рекомендуется проявлять повышенную осторожность: избегать загрузки приложений из ненадёжных источников, проверять права доступа и использовать надёжные решения для защиты данных. Особенно это касается тех, кто может стать мишенью для государственных хакерских группировок - журналистов, правозащитников и сотрудников международных организаций.

Индикаторы компрометации

Domains

  • n14mit69company.top

URLs

  • http://185.203.119.134/DP/dl.php
  • http://192.121.113.60/dev/run.php
  • http://194.26.213.176/class/mcrypt.php
  • http://45.86.163.10/class/mcrypt.php
  • http://46.30.188.243/class/mcrypt.php
  • http://77.75.230.135/class/mcrypt.php
  • http://79.132.128.81/dev/run.php
  • https://hs1.iphide.net:751
  • https://hs2.iphide.net:751
  • https://hs3.iphide.net:751
  • https://hs4.iphide.net:751
  • https://it1.comodo-vpn.com:1950
  • https://it1.comodo-vpn.com:1953
  • https://r1.earthvpn.org:3413
  • https://r2.earthvpn.org:3413

SHA1

  • 556d7ac665fa3cc6e56070641d4f0f5c36670d38
  • 67ab474e08890c266d242edaca7fab1b958d21d4
  • 6c291b3e90325bea8e64a82742747d6cdce22e5b
  • 7010e2b424eadfa261483ebb8d2cca4aac34670c
  • 7267f796581e4786dbc715c6d62747d27df09c61
  • 8f37a3e2017d543f4a788de3b05889e5e0bc4b06
  • 9dec46d71289710cd09582d84017718e0547f438
  • cb2ffe5accc89608828f5c1cd960d660aac2971d
  • f194259e435ff6f099557bb9675771470ab2a7e3
Комментарии: 0
Похожие записи
0
08.07.2023
Индикаторы компрометации

GhostWriter APT IOCs - Part 3

security
CERT-UA обнаружены XLS-документы "PerekazF173_04072023.xls" и "Rahunok_05072023.xls", содержащие как легитимный макрос, так и макрос, который осуществит декодирование, обеспечение персистентности и запуск вредоносной программы PicassoLoader.