Иранские хакеры атаковали глобальные правительства под видом МИД Омана

На основе криминалистического расследования кампания была атрибутирована иранским операторам, связанным с группировкой Homeland Justice, которая ассоциируется с Министерством разведки и безопасности Ирана (MOIS). Документ содержал закодированный контент в виде числовых последовательностей, которые расшифровывались с помощью встроенного макроса VBA. При выполнении макрос преобразовывал каждую последовательность из трех чисел в символы ASCII, реконструируя и запуская вредоносную полезную нагрузку.

Анализ показал, что кампания была многоэтапной и работала в более крупном масштабе, чем изначально предполагалось. Из набора данных в 270 писем было использовано 104 уникальных скомпрометированных адреса для маскировки истинного происхождения активности. Получателями стали посольства, консульства и международные организации в различных регионах мира.

Технический анализ выявил сложный механизм доставки вредоносного кода. Макросы были скрыты в модулях "This Document" и "UserForm1" проекта VBA. Код включал функции декодирования полезной нагрузки, введения задержек для противодействия анализу и скрытного выполнения. Расшифрованный исполняемый файл sysProcUpdate проявлял признаки противодействия анализу, собирал метаданные системы и отправлял их через зашифрованное HTTPS-соединение на управляющий сервер.

Инфраструктура атаки включала скомпрометированный почтовый ящик МИД Омана, узлы рассылки через NordVPN в Иордании для маскировки происхождения и домен screenai.online в качестве командного сервера. Географическое распределение целей показало, что основным регионом атаки стала Европа, также значительное внимание уделялось африканским странам и международным организациям, включая ООН и ЮНИСЕФ.

Кампания демонстрирует характеристики хорошо спланированной операции кибершпионажа: региональная адаптация приманок, сочетание легитимной инфраструктуры с техниками маскировки, акцент на разведку и подготовку к последующему развитию атаки. Использование задержек выполнения, скрытных методов запуска и модификации реестра указывает на подготовку к длительному присутствию в целевых сетях.

Эксперты отмечают, что такая активность совпадает с периодом повышенной геополитической напряженности и может быть связана с попытками получения разведывательной информации о дипломатических процессах в регионе. Атака подчеркивает важность повышенной бдительности при работе с электронной почтой и необходимость реализации строгих мер безопасности для правительственных и дипломатических учреждений.

Domains

• screenai.online

URLs

• https://screenai.online/Home/

SHA256

• 02ccc4271362b92a59e6851ac6d5d2c07182064a602906d7166fe2867cc662a5
• 03828aebefde47bca0fcf0684ecae18aedde035c85f9d39edd2b7a147a1146fa
• 05d8f686dcbb6078f91f49af779e4572ba1646a9c5629a1525e8499ab481dbf2
• 1883db6de22d98ed00f8719b11de5bf1d02fc206b89fedd6dd0df0e8d40c4c56
• 1c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a1
• 20e7b9dcf954660555d511a64a07996f6178f5819f8501611a521e19fbba74b0
• 2c92c7bf2d6574f9240032ec6adee738edddc2ba8d3207eb102eddf4ab963db0
• 3ac8283916547c50501eed8e7c3a77f0ae8b009c7b72275be8726a5b6ae255e3
• 3d6f69cc0330b302ddf4701bbc956b8fca683d1c1b3146768dcbce4a1a3932ca
• 76fa8dca768b64aefedd85f7d0a33c2693b94bdb55f40ced7830561e48e39c75
• 80e9105233f9d93df753a43291c2ab1a010375357db9327f9fe40d184f078c6b
• b2c52fde1301a3624a9ceb995f2de4112d57fcbc6a4695799aec15af4fa0a122
• f0ba41ce46e566f83db1ba3fc762fd9b394d12a01a9cef4ac279135e4c1c67a9

• Dream_CTI_Analysis_Malicious_Campaign_by_MOIS_Targeting_Diplomatic_Assets.pdf