Обнаружена новая кампания иранского APT Dust Specter против иракских чиновников с использованием неизвестных вредоносных программ

Кампания была направлена на сотрудников Министерства иностранных дел Ирака. Злоумышленники использовали фишинговые сообщения, в которых маскировались под официальные лица ведомства. В качестве приманки применялись документы, связанные с сетевым оборудованием, и поддельные опросы в Google Forms на арабском языке. Важной особенностью стало компрометирование инфраструктуры, связанной с правительством Ирака, для размещения вредоносных нагрузок, что повышало доверие к атаке со стороны жертв.

Аналитики выделили две независимые цепочки атаки. Первая использует модульную архитектуру. Она начинается с дроппера SPLITDROP, написанного на .NET и замаскированного под установщик WinRAR. При запуске он требует от жертвы ввода пароля для «распаковки архива», что является элементом социальной инженерии. После этого дроппер расшифровывает и сбрасывает на диск два основных модуля: TWINTASK и TWINTALK. Для их выполнения используется техника DLL side-loading - вредоносный код загружается в память через легитимные исполняемые файлы медиаплеера VLC и пакетного менеджера WingetUI, что позволяет обходить простые сигнатурные методы обнаружения.

TWINTASK выполняет роль рабочего модуля, который каждые 15 секунд опрашивает файл на диске в поиске новых команд от оператора. Команды, закодированные в Base64, выполняются с помощью PowerShell, а результаты записываются в другой файл. TWINTALK же выступает в роли оркестратора командного центра. Он отвечает за связь с сервером управления, используя для этого сложные механизмы уклонения. Каждый запрос к C2-серверу (Command and Control, сервер управления ботами) имеет уникальный путь, сгенерированный случайным образом, к которому добавляется контрольная сумма для верификации запроса от реально заражённой системы. Кроме того, сервер применяет геофильтрацию и проверку User-Agent.

Вторая цепочка атаки, получившая название GHOSTFORM, консолидирует весь функционал в одном исполняемом файле, что уменьшает её след в файловой системе. Этот бэкдор также написан на .NET и использует для выполнения команд PowerShell в памяти, не оставляя скриптов на диске. Его ключевой особенностью является креативная техника задержки выполнения: вредоносная программа создаёт невидимое окно Windows Form с нулевой прозрачностью и использует встроенный таймер для паузы перед выходом на связь с командным центром. Это позволяет обойти простые сендбоксы, которые отслеживают вызовы стандартных API для задержки выполнения, таких как "Sleep".

Особый интерес вызывает анализ кодовой базы вредоносных программ. Исследователи обнаружили в коде эмодзи и Unicode-символы, а также использование «книжных» значений для сидов генераторов случайных чисел, например, 0xABCDEF. Эти артефакты с высокой вероятностью указывают на использование генеративного ИИ при разработке или доработке кода. Данный тренд, ранее отмечавшийся в других кампаниях, показывает, как угрозы адаптируются к современным инструментам разработки.

Связь с иранскими APT-группами, в частности с известной APT34 (OilRig), прослеживается по нескольким параметрам.

• Совпадает целевой сегмент - государственный сектор Ирака, особенно дипломатические структуры.
• Наблюдаются схожие технические приёмы: использование простых, но эффективных .NET-бэкдоров без сложной обфускации, схожий набор команд C2 (выполнение кода, загрузка и выгрузка файлов), а также размещение вредоносных нагрузок на скомпрометированных правительственных ресурсах Ирака.
• Совпадают методы социальной инженерии, включая поддельные приглашения на конференции (в данном случае под Cisco Webex) и использование техники ClickFix, когда жертве предлагается скопировать и выполнить команду PowerShell для «исправления» несуществующей проблемы отчёт Zscaler ThreatLabz.

Последствия успешной такой атаки для государственной организации могут быть серьёзными: от хищения конфиденциальных дипломатических документов и переписки до долговременного закрепления злоумышленников в сети для последующего шпионажа. Использование легитимного ПО для запуска вредоносных DLL осложняет обнаружение классическими антивирусными средствами.

Для защиты от подобных угроз организациям, особенно в государственном секторе и смежных отраслях, рекомендуется внедрять многоуровневую стратегию безопасности. Критически важно обучать сотрудников, особенно работающих с чувствительной информацией, распознаванию фишинговых атак и подозрительных запросов на выполнение действий, даже если они поступают из якобы доверенных источников. На техническом уровне необходимо применять решения класса EDR (Endpoint Detection and Response, системы обнаружения и реагирования на конечных точках), способные выявлять аномальное поведение, такое как создание невидимых окон, подозрительная активность PowerShell и попытки установки автозапуска через реестр. Кроме того, следует строго контролировать установку и использование программного обеспечения, применяя политики whitelisting, и регулярно проводить аудит инфраструктуры на предмет признаков компрометации. Кампания Dust Specter наглядно показывает, что современные угрозы сочетают в себе проверенные временем техники с новыми инструментами, что требует от защитников постоянной бдительности и адаптации собственных мер безопасности.

Domains

• afterworld.store
• girlsbags.shop
• lecturegenieltd.pro
• meetingapp.site
• onlinepettools.shop
• web14.info
• web27.info

URLs

• https://ca.iq/packages/mofaSurvey_20_30_oct.zip

MD5

• 19ab3fd2800f62a47bf13a4cc4e4c124
• 63702bd6422ec2d5678d4487146ea434
• 70a9b537b9b7e1b410576d798e6c5043
• 78275f3fc7e209b85bff6a6f99acc68a
• 7f17fa22feaced1a16d4d39c545cdb16
• 809139c237c4062baecab43570060d67
• 8f44262afaa171b78fc9be20a0fb0071
• a7561eb023bb2c4025defcfe758d8ac2
• aa887d32eb9467abba263920e55d6abe
• b19add5ccaa17a1308993e6f3f786b06
• b8254efd859f5420f1ce4060e4796c08
• d5ddf40ba2506c57d3087d032d733e08

SHA1

• 1debc4c512ded889464e386739d5d2f61b87ff13
• 369b56a89b2fce2cbdc36f5a23bdec6067242911
• 51a746c85bd486f223130173b7e674379a51b694
• 682c043443cb81b6c2fde8c5df43333f5d1fec53
• 8621be9e1aa730d1ac8eb06fa8f66d9da70ff293
• 8735ee29c409b8d101eb3170f011455be41b7a91
• ad97e1bba1d040a237727afdb2787d6867d72b74
• c79c261457def606c3393dde77c82832a5c0ded3
• c7dff3a0675f330feb9a7c469f8340369451d122
• cb1760c90fb6c399e0125c7aa793efe37c4ce533
• df04e36c106691f9fe88e5798e4ae86438bd4f1d
• Fc08f8403849c6233978a363f4cdc58cd7041823

SHA256

• 293ee1fe8d36aa79cf1f64f5ddef402bc6939d229c6fca955c7b796119564779
• 3a66ae5942f6feb79cf81ee70451f761253e0e0bde95f0840abdd42a804fad39
• 69294ad90aeb7f05e501e7191c95beb14e23da5587dd75557c867e2944a57fdc
• 6af71297ce7681e64d9a4c5449a7326f17f3f107cb7940ec5e0840390c457a47
• 6bb0d45799076b3f2d7f602b978a0779868fc72a1188374f6919fbbfba23efce
• 797325b3c8a9356dcace75d93cb5cfb7847d2049c66772d4cc2cee821618cb96
• 903f7869a94d88d43b9140bb656f7bb86ef725efc78ef2ff9d12fd7c7c2aca74
• a27d53608ab05b5c7cb86bcf4a273435238beeb7e7efd7845375b2aa765f51e2
• ad26cd72a83b884a8bc5aaa87309683953e151ebb3fde42eda7bf9a4406e530d
• eb5b7275c41de8e98d72696eeac9cba3719f334f8e7974e6b8760ece820b1d0c
• f3f2dc31f70a105db161a5e7b463b2215d3cbd64ac0146fd68e39da1c279f7ef
• fa51aff99d86a9f1f65aa0ebbf6ca40411d343cea59370851ab328b97e2164bb