Открытая директория на сервере в ОАЭ раскрыла масштабную кибершпионскую кампанию против правительства Омана

Оман давно находится в поле зрения кибершпионских структур. Еще в 2025 году группа, аффилированная с Министерством разведки и безопасности Ирана (MOIS), взломала почтовый ящик оманского МИДа в Париже и использовала его для рассылки фишинговых писем посольствам и международным организациям. Теперь же атака была направлена непосредственно на оманские учреждения, а ее фокус сместился на судебные записи, иммиграционные системы и данные удостоверений личности граждан. Соседняя инфраструктура на том же диапазоне IP-адресов содержит поддельные СМИ иранской диаспоры и несколько доменов в зоне .ir, что дает дополнительный контекст о вероятном источнике угрозы.

Сервер с IP-адресом 172.86.76[.]127 впервые попал в поле зрения сканеров 8 апреля 2026 года. На порту 8000 была обнаружена одна директория, а спустя два дня, 10 апреля, на порту 8002 - вторая, уже более структурированная. Первая директория содержала следы разведки и попыток первоначального доступа к нескольким правительственным ресурсам Омана. Вторая представляла собой полноценную среду управления атакой с четким разделением файлов по функциям. Внутри находилась 211 файлов, 17 подкаталогов общим объемом 110 мегабайт.

Среди целей, зафиксированных в первой директории, значатся портал электронных виз Королевской полиции Омана, почтовые серверы Королевского флота Омана и Налоговой службы, а также учебная платформа Государственного контрольного управления. Для атак на почтовые серверы использовался скрипт proxyshell_01.sh, нацеленный на эксплуатацию уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). В отдельном файле evisa_cookies.txt сохранились данные аутентификации на портале электронных виз, что указывает на успешный подбор паролей.

Во второй директории исследователи обнаружили не только сами инструменты, но и руководство злоумышленника под названием README.txt. В нем перечислены порты прослушивания, шаблоны обратных оболочек, команды для эксфильтрации и пути к хранилищу похищенных данных. Первая строка документа гласила: "VPS C2 - 172.86.76[.]127", что намекает на существование других серверов в инфраструктуре оператора.

Особый интерес представляют два веб-шелла. Первый, hc2.aspx, был найден прямо на сервере C2. Второй, health_check_t.aspx, использовался во всех скриптах, нацеленных на Министерство юстиции. Он был развернут под каталогом /Portals/0/ системы управления контентом DotNetNuke (DNN). Уязвимость CVE-2025-32372, связанная с подделкой запросов на стороне сервера (SSRF) в DNN версий до 9.13.8, вероятно, стала точкой входа в сеть министерства.

Скрипты из папки gov.om охватывают одиннадцать различных министерств и ведомств Омана. Помимо уже упомянутых, в списке значатся Королевский суд, Управление по регулированию государственных услуг, Управление гражданской авиации, Управление информационных технологий, Министерство финансов, Министерство транспорта и связи, а также Прокуратура. Для каждого ведомства использовались специфические инструменты: от эксплуатации Citrix и Oracle APEX до атак на бэкенды Spring Boot и подстановки SQL-запросов.

Получив доступ через веб-шелл, оператор начал методично собирать учетные данные и личную информацию. С помощью PowerShell он извлек схемы баз данных и таблицы пользователей, включая таблицу aspnet_Membership, где хранились хеши паролей. Отдельно из базы данных, названной "MOLADB", были выгружены записи таблицы eGov_Person, содержащие идентификационные номера, имена на арабском и английском языках, даты рождения и гражданство. Эти данные складировались в подкаталоге ejustice на сервере C2.

Для закрепления в системе применялся инструмент GodPotato - утилита для повышения привилегий через манипуляции с токеном SeImpersonatePrivilege. В более поздних версиях скрипта использовалась отражающая загрузка, что позволяло исполнять полезную нагрузку непосредственно в памяти, минуя запись на диск. Интересно, что код содержал подробные комментарии на английском, описывающие причины ошибок в предыдущих версиях. Это говорит о том, что оператор, по всей видимости, не был профессиональным разработчиком и учился на своих ошибках. Однако сами файлы командного центра (C2) и маяка (beacon) таких комментариев не содержали, что указывает на их ручное написание.

Система управления атакой работала через Python-сервер, прослушивающий порт 8001. Маяк new_beacon.ps1, развернутый на стороне жертвы, каждые 30 секунд отправлял запрос на получение команд. Каждая сессия начиналась с обратного вызова BEACON_START, который передавал домен, имя пользователя и имя хоста. Результаты выполнения команд возвращались в кодировке base64 частями по 1500 символов, чтобы не превышать лимиты длины URL.

Логи C2 показали активность оператора 10 апреля 2026 года, начиная с 3:00 UTC. Все сессии исходили из сети Министерства юстиции. В логах зафиксирована последовательность команд: от профилирования хоста и сетевой разведки до картирования схем баз данных и извлечения данных. Особое внимание уделялось таблицам с судебными решениями, вложениями дел, решениями комитетов и экспертизами. Затем оператор извлек таблицу пользователей DNN, содержащую 26 596 записей - адреса электронной почты сотрудников и их учетные данные.

Попытка создать задачу планировщика под именем MicrosoftEdgeUpdate для долгосрочного закрепления была заблокирована встроенным антивирусом Windows Defender. Повторной попытки не последовало. Однако на сервере присутствовал скрипт, предназначенный для принудительного отключения антивируса. Реестры SAM и SYSTEM также были извлечены и сохранены в временной папке.

Инфраструктура оператора не ограничивалась одним виртуальным сервером. Анализ соседних IP-адресов в подсети RouterHosting выявил кластер из девяти дополнительных поддоменов, зарегистрированных в тот же день, что и dubai-10.vaermb.com. Один из них, расположенный на сервере в Швейцарии, содержал реплику сайта Radio Zamaneh - персидского независимого СМИ, базирующегося в Амстердаме. Еще один IP ранее хостил страницу, направленную на обход цензуры в Иране, и лендинг криптовалютной инвестиционной платформы. Совокупность этих улик - Diaspora-медиа, инструменты обхода блокировок и целевая атака на соседнее государство - согласуется с предыдущими операциями иранских государственных групп.

Применяемые инструменты и методы частично пересекаются с кластерами APT34 (OilRig) и MuddyWater (Mango Sandstorm). Обе группы ранее были замечены в атаках на правительственные сети Омана. MuddyWater, в частности, активно использует Chisel, ProxyShell и PowerShell в аналогичных региональных операциях. Однако без уникальных образцов вредоносного кода или прямых связей с известной инфраструктурой атрибуция на уровне конкретной группы пока невозможна. Тем не менее, активность уверенно вписывается в рамки иранских государственных киберопераций.

Этот инцидент - не просто очередная утечка данных. Он демонстрирует, насколько системно могут быть настроены процессы кибершпионажа, когда операторы годами готовят инструментарий, тестируют его и оставляют свои серверы открытыми лишь по случайности. Обнаружение такой директории - редкая удача для исследователей, но тревожный сигнал для всех правительственных структур, чьи данные уже могли быть скомпрометированы.

IPv4

• 104.21.27.95
• 172.67.142.35
• 172.86.76.101
• 172.86.76.108
• 172.86.76.112
• 172.86.76.120
• 172.86.76.121
• 172.86.76.124
• 172.86.76.129
• 172.86.76.130
• 172.86.76.94
• 45.59.114.60

Domains

• brnettlix.com
• brttfrixx.com
• dubai-1.vaermb.com
• dubai-2.vaermb.com
• dubai-3.vaermb.com
• dubai-4.vaermb.com
• dubai-5.vaermb.com
• dubai-6.vaermb.com
• dubai-7.vaermb.com
• dubai-8.vaermb.com
• dubai-9.vaermb.com
• identificara.com
• myjitsi.exceptionnotfound.ir
• myjitsi.mrnajafipour.ir
• price.exceptionnotfound.ir
• realprimefix.com
• regorixa.com
• s5.sideliner.ir
• shop.exceptionnotfound.ir
• suanefllix.com
• tools.exceptionnotfound.ir