На фоне эскалации политической напряженности на Ближнем Востоке специалисты по кибербезопасности фиксируют резкий всплеск активности злоумышленников, использующих тему конфликта в своих целях. Эксперты подразделения ThreatLabz компании Zscaler обнаружили и проанализировали целый спектр угроз - от целевых атак с использованием сложных бэкдоров до массовых фишинговых и мошеннических кампаний. Эта активность представляет риск не только для государственных структур региона, но и для коммерческих организаций и обычных пользователей по всему миру, которых привлекает актуальная тематика.
Описание
В рамках мониторинга было выявлено более 8000 недавно зарегистрированных доменов, содержащих ключевые слова, связанные с ближневосточным конфликтом. Хотя большинство из них пока не содержат контента, такая массовая регистрация часто служит подготовкой инфраструктуры для будущих атак. Среди уже активных ресурсов наблюдаются сайты для мониторинга конфликта, тематические криптовалютные «мемкоины», краткосрочные интернет-магазины с мерчем, блоги, игры, а также скам-сайты и Progressive Web Apps (PWA, прогрессивные веб-приложения), связанные с азартными играми. Эта разнообразная палитра инструментов свидетельствует о том, что злоумышленники разных уровней готовы извлекать выгоду из человеческого интереса и эмоций.
Одной из наиболее технически сложных оказалась целевая атака, предположительно нацеленная на страны Совета сотрудничества арабских государств Персидского залива (ССАГПЗ). Первого марта 2026 года аналитики обнаружили ZIP-архив, содержащий файлы, связанные с конфликтом. В архиве находился файл ярлыка Windows (LNK), который при открытии загружал вредоносный файл справки Windows (CHM) с контролируемого злоумышленниками сервера. Этот CHM-файл, в свою очередь, использовался для развёртывания загрузчика shellcode-а (небольшой фрагмента исполняемого кода) и последующего бэкдора. В качестве приманки атака сбрасывала на диск файл PDF с изображениями ракетных ударов и текстом на арабском, который переводится как «Иранские ракетные удары по американской базе в Бахрейне». Анализ цепочки заражения показал использование сложной обфускации и техники подмены DLL (DLL sideloading), когда вредоносная библиотека загружается с помощью легитимного исполняемого файла.
В другом случае, четвёртого марта, был обнаружен архив, содержащий переименованный легитимный файл музыкального проигрывателя KuGou. Его имя - «Iran Strikes U.S. Military Facilities Across Gulf Region.exe» - было явно выбрано для привлечения внимания. При запуске этот файл осуществлял подмену DLL, что приводило к загрузке бэкдора LOTUSLITE. Этот же бэкдор ранее использовался группировкой Mustang Panda в кампаниях, связанных с другими геополитическими темами, что демонстрирует типичную для APT-групп тактику быстрого перепрофилирования инструментов под актуальные новостные поводы. Подробности этой атаки эксперты ThreatLabz описали в своём блоге, отметив использование скомпрометированного веб-сайта для размещения полезной нагрузки.
Параллельно с целевыми атаками идут массовые кампании. Аналитики обнаружили фейковые новостные блоги на тему конфликта, которые с помощью JavaScript определяли тип устройства жертвы и перенаправляли её на файлообменный ресурс. Тот предлагал скачать архив, защищённый паролем, который содержал вредоносную программу StealC, предназначенную для кражи данных. Другое направление - фишинговые сайты, копирующие официальные порталы. Так, на одном домене был размещён клон сайта Администрации социального обеспечения США (SSA), предлагавший загрузить легитимный инструмент удалённого управления PDQConnect. Его установка могла бы предоставить злоумышленнику полный контроль над системой. Примечательно, что в исходном коде этой и другой фишинговой страницы - поддельного сайта оплаты дорожных сборов Kvish 6 в Израиле - были обнаружены комментарии на персидском языке. Хотя это не является однозначным доказательством атрибуции, такие артефакты могут указывать на рабочее окружение операторов и дают полезный контекст.
Мошенничество также приняло широкие масштабы. Появились сайты, имитирующие сбор гуманитарной помощи, которые направляли платежи на подозрительные кошельки Google Pay или криптовалютные адреса, а не реальным благотворительным организациям. Схожим образом действовали временные интернет-магазины, продающие тематическую атрибутику «в поддержку»; они часто не имели реальных реквизитов, что указывало на скам с целью сбора платёжных данных или невыполнения заказов. Отдельный тренд - продвижение так называемых мемкоинов (криптовалют, созданных вокруг мема или идеи), таких как «$KHAMENEI». Их реклама строилась на эмоциональных призывах и стилистике экстренных новостей, что характерно для схем «накачки и сброса» (pump-and-dump), когда организаторы искусственно раздувают цену, а затем продают свои активы, обваливая курс и оставляя рядовых инвесторов с убытками.
Для противодействия этому спектру угроз эксперты рекомендуют организациям принять комплекс мер. Ключевыми являются минимизация поверхности атаки, в том числе за счёт сокрытия уязвимых приложений и VPN от прямого доступа из интернета, и предотвращение первоначального компрометации за счёт глубокой инспекции всего трафика. Не менее важно внедрение принципа наименьших привилегий, обязательное использование многофакторной аутентификации (MFA) и сегментация доступа для блокировки горизонтального перемещения злоумышленника в сети. Следует также внедрять активную защиту, например, технологии децепции с использованием ложных целей-ловушек для обнаружения активности злоумышленника, и регулярно проводить обучение сотрудников для формирования культуры безопасности, так как многие атаки начинаются с фишинга. Текущая ситуация наглядно показывает, как геополитический кризис моментально отражается в киберпространстве, создавая дополнительные риски, к которым необходимо быть готовыми как технически, так и организационно.
Индикаторы компрометации
IPv4
- 172.81.60.97
- 80.97.160.190
Domains
- arch.megadatahost1.lol
- arch2.maxdatahost1.cyou
- arch2.megadatahost1.lol
- flourishingscreencousin.com
- Holidayslettucecircumvent.com
- media.hyperfilevault2.mom
- media.maxdatahost1.cyou
- media.megadatahost1.lol
- media.megafilehost2.sbs
URLs
- www.e-kflower.com/_prozn/_skin_mbl/home/KApp.rar
- www.e-kflower.com/_prozn/_skin_mbl/home/KAppl.rar
MD5
- 098bc0dd6a02a777fabb1b7d6f2da505
- 10fb1122079b5ae8e4147253a937f40f
- 6accd57e48c34cadc998d00594229e42
- 722bcd4b14aac3395f8a073050b9a578
- 8c5a4dafed1586cec48d8eda267d8e42
- 972585e50798cb5f122f766d8f26637f
SHA1
- 1b3fa84de23c6e789958462e6185e9cf0680ed9c
- 7d4e31c8b11be7c970860c4fbc8fe85c70724cb1
- B9dfc411699e07343b9b95daa79fe7e4b6811579
- Be34901237c9fa9563e8dc9e71faf3a7e68f983f
- E5baecb74c456df26aa7e0fa1661838cd86ccfd7
SHA256
- 24b11b4b999b385bede48ad9f0570e2e5da4a2054b96738b1e4d4946ece94bc1
- 4fb9b5d115bceee45a89447fb2565faef07452cda6b8e244e53ad91499c3d9b5
- 819f586ca65395bdd191a21e9b4f3281159f9826e4de0e908277518dba809e5b
- 8564763407064117726211ff8f89555e5a3b2b70bc9667032abd69cbe53b5216
- db40546435a7c42b32493301e333c8c0010e652fecd02463614a386f916055ec
