Компания Mandiant, известная своим экспертизом в области кибербезопасности, опубликовала тревожный отчет о масштабной шпионской кампании, связанной с Ираном. По данным аналитиков, группа хакеров под кодовым названием UNC1549, предположительно связанная с Корпусом стражей исламской революции (КСИР), ведет целенаправленные атаки на аэрокосмическую, авиационную и оборонную промышленность в ряде стран, включая Израиль, ОАЭ, Турцию, Индию и Албанию.
Описание
Кампания, стартовавшая еще в июне 2022 года, продолжает развиваться, демонстрируя высокий уровень изощренности. Злоумышленники используют сложные методы маскировки, в том числе облачную инфраструктуру Microsoft Azure, чтобы скрыть свою деятельность. Кроме того, они активно применяют социальную инженерию, создавая поддельные веб-сайты и приложения, имитирующие работу реальных компаний и даже благотворительных организаций.
Одним из самых тревожных аспектов этой кампании стало использование хакерами движения "Верните их домой сейчас", которое призывает к освобождению израильтян, захваченных ХАМАСом. Под прикрытием этой инициативы UNC1549 распространяет вредоносное ПО MINIBIKE и MINIBUS, заражая системы жертв. Эксперты Mandiant обнаружили, что злоумышленники создают фальшивые платформы для подбора персонала, предлагая вакансии в оборонных и аэрокосмических компаниях, а также имитируют приложения, связанные с ХАМАСом, для привлечения доверчивых пользователей.
Анализ методов атак показал, что UNC1549 тесно связан с группой Tortoiseshell, которая, по данным исследователей, действует в интересах КСИР. Кроме того, специалисты Mandiant отмечают сходство тактик, применяемых в этой кампании, с другими известными иранскими хакерскими группами. Это свидетельствует о скоординированной стратегии, направленной на подрыв безопасности ключевых отраслей в регионе.
Оборонные и аэрокосмические компании являются стратегически важными объектами, и их компрометация может привести не только к утечке конфиденциальных данных, но и к серьезным последствиям для национальной безопасности. Mandiant предупреждает, что UNC1549 продолжает активно действовать, а их методы становятся все более изощренными, что затрудняет обнаружение и нейтрализацию угрозы.
Одной из ключевых проблем является использование облачных сервисов, которые позволяют хакерам быстро менять инфраструктуру и уклоняться от блокировок. Кроме того, социальная инженерия остается эффективным инструментом, поскольку человеческий фактор зачастую оказывается слабым звеном в системе защиты.
Mandiant призывает компании усилить меры кибербезопасности, особенно в сфере обнаружения фишинговых атак и мониторинга подозрительной активности в облачных сервисах. Также эксперты рекомендуют проводить регулярное обучение сотрудников, чтобы минимизировать риски, связанные с социальной инженерией.
В условиях роста киберугроз, особенно со стороны государственно-спонсируемых групп, подобные атаки требуют повышенного внимания как со стороны бизнеса, так и правительственных структур. Остается открытым вопрос, какие дополнительные меры будут приняты для противодействия UNC1549 и другим аналогичным группам, но уже сейчас ясно, что игнорировать эту угрозу нельзя.
Киберпространство становится новой ареной геополитического противостояния, и подобные инциденты лишь подтверждают, что безопасность данных и критической инфраструктуры должна быть приоритетом для всех участников рынка.
Индикаторы компрометации
Domains
- 1stemployer.com
- airconnectionapi.azurewebsites.net
- airconnectionsapi.azurewebsites.net
- airconnectionsapijson.azurewebsites.net
- airgadgetsolution.azurewebsites.net
- airgadgetsolutions.azurewebsites.net
- altnametestapi.azurewebsites.net
- answerssurveytest.azurewebsites.net
- apphrquestion.azurewebsites.net
- apphrquestions.azurewebsites.net
- apphrquizapi.azurewebsites.net
- arquestions.azurewebsites.net
- arquestionsapi.azurewebsites.net
- audiomanagerapi.azurewebsites.net
- audioservicetestapi.azurewebsites.net
- birngthemhomenow.co.il
- blognewsalphaapijson.azurewebsites.net
- blogvolleyballstatus.azurewebsites.net
- blogvolleyballstatusapi.azurewebsites.net
- boeisurveyapplications.azurewebsites.net
- browsercheckap.azurewebsites.net
- browsercheckingapi.azurewebsites.net
- browsercheckjson.azurewebsites.net
- cashcloudservices.com
- changequestionstypeapi.azurewebsites.net
- changequestionstypejsonapi.azurewebsites.net
- changequestiontypes.azurewebsites.net
- changequestiontypesapi.azurewebsites.net
- checkapicountryquestions.azurewebsites.net
- checkapicountryquestionsjson.azurewebsites.net
- checkservicecustomerapi.azurewebsites.net
- coffeeonlineshop.azurewebsites.net
- coffeeonlineshoping.azurewebsites.net
- connectairapijson.azurewebsites.net
- connectionhandlerapi.azurewebsites.net
- countrybasedquestions.azurewebsites.net
- customercareservice.azurewebsites.net
- customercareserviceapi.azurewebsites.net
- emiratescheckapi.azurewebsites.net
- emiratescheckapijson.azurewebsites.net
- engineeringrssfeed.azurewebsites.net
- engineeringssfeed.azurewebsites.net
- exchtestcheckingapi.azurewebsites.net
- exchtestcheckingapihealth.azurewebsites.net
- flighthelicopterahtest.azurewebsites.net
- helicopterahtest.azurewebsites.net
- helicopterahtests.azurewebsites.net
- helicoptersahtests.azurewebsites.net
- hiringarabicregion.azurewebsites.net
- homefurniture.azurewebsites.net
- hrapplicationtest.azurewebsites.net
- humanresourcesapi.azurewebsites.net
- humanresourcesapijson.azurewebsites.net
- humanresourcesapiquiz.azurewebsites.net
- iaidevrssfeed.centralus.cloudapp.azure.com
- iaidevrssfeed.centrualus.cloudapp.azure.com
- iaidevrssfeed.cloudapp.azure.com
- iaidevrssfeedp.cloudapp.azure.com
- identifycheckapplication.azurewebsites.net
- identifycheckapplications.azurewebsites.net
- identifycheckingapplications.azurewebsites.net
- ilengineeringrssfeed.azurewebsites.net
- integratedblognewfeed.azurewebsites.net
- integratedblognews.azurewebsites.net
- integratedblognewsapi.azurewebsites.com
- integratedblognewsapi.azurewebsites.net
- intengineeringrssfeed.azurewebsites.net
- intergratedblognewsapi.azurewebsites.net
- javaruntime.azurewebsites.net
- javaruntimestestapi.azurewebsites.net
- javaruntimetestapi.azurewebsites.net
- javaruntimeversionchecking.azurewebsites.net
- javaruntimeversioncheckingapi.azurewebsites.net
- jupyternotebookcollection.azurewebsites.net
- jupyternotebookcollections.azurewebsites.net
- jupyternotebookcollections.com
- jupyternotebookscollection.azurewebsites.net
- logsapimanagement.azurewebsites.net
- logsapimanagements.azurewebsites.net
- logupdatemanagementapi.azurewebsites.net
- logupdatemanagementapijson.azurewebsites.net
- manpowerfeedapi.azurewebsites.net
- manpowerfeedapijson.azurewebsites.net
- marineblogapi.azurewebsites.net
- notebooktextchecking.azurewebsites.net
- notebooktextcheckings.azurewebsites.net
- notebooktextcheckings.com
- notebooktexts.azurewebsites.net
- onequestions.azurewebsites.net
- onequestionsapi.azurewebsites.net
- onequestionsapicheck.azurewebsites.net
- openapplicationcheck.azurewebsites.net
- optionalapplication.azurewebsites.net
- personalitytestquestionapi.azurewebsites.net
- personalizationsurvey.azurewebsites.net
- qaquestionapi.azurewebsites.net
- qaquestions.azurewebsites.net
- qaquestionsapi.azurewebsites.net
- qaquestionsapijson.azurewebsites.net
- queryfindquestions.azurewebsites.net
- queryquestions.azurewebsites.net
- questionsapplicationapi.azurewebsites.net
- questionsapplicationapijson.azurewebsites.net
- questionsapplicationbackup.azurewebsites.net
- questionsdatabases.azurewebsites.net
- questionsurveyapp.azurewebsites.net
- questionsurveyappserver.azurewebsites.net
- quiztestapplication.azurewebsites.net
- refaeldevrssfeed.centralus.cloudapp.azure.com
- regionuaequestions.azurewebsites.net
- registerinsurance.azurewebsites.net
- roadmapselector.azurewebsites.net
- roadmapselectorapi.azurewebsites.net
- sportblogs.azurewebsites.net
- surveyappquery.azurewebsites.net
- surveyonlinetest.azurewebsites.net
- surveyonlinetestapi.azurewebsites.net
- technewsblogapi.azurewebsites.net
- teledyneflir.com.de
- testmanagementapi1.azurewebsites.net
- testmanagementapis.azurewebsites.net
- testmanagementapisjson.azurewebsites.net
- testquestionapplicationapi.azurewebsites.net
- testtesttes.azurewebsites.net
- tiappschecktest.azurewebsites.net
- tnlsowki.westus3.cloudapp.azure.com
- tnlsowkis.westus3.cloudapp.azure.com
- turkairline.azurewebsites.net
- uaeaircheckon.azurewebsites.net
- uaeairchecks.azurewebsites.net
- vscodeupdater.azurewebsites.net
- vsliveagent.com
- workersquestions.azurewebsites.net
- workersquestionsapi.azurewebsites.net
- workersquestionsjson.azurewebsites.net
- xboxplayservice.com
MD5
- 01cbaddd7a269521bf7b80f4a9a1982f
- 054c67236a86d9ab5ec80e16b884f733
- 05fcace605b525f1bece1813bb18a56c
- 0a739dbdbcf9a5d8389511732371ecb4
- 1d8a1756b882a19d98632bc6c1f1f8cd
- 2c4cdc0e78ef57b44f11f7ec2f6164cd
- 36e2d9ce19ed045a9840313439d6f18d
- 3b658afa91ce3327dbfa1cf665529a6d
- 409c2ac789015e76f9886f1203a73bc0
- 4a223bc9c6096ac6bae3e7452ed6a1cd
- 4ed5d74a746461d3faa9f96995a1eec8
- 601eb396c339a69e7d8c2a3de3b0296d
- 664cfda4ada6f8b7bb25a5f50cccf984
- 68f6810f248d032bbb65b391cdb1d5e0
- 691d0143c0642ff783909f983ccb8ffd
- 710d1a8b2fc17c381a7f20da5d2d70fc
- 75d2c686d410ec1f880a6fd7a9800055
- 816af741c3d6be1397d306841d12e206
- 89107ce5e27d52b9fa6ae6387138dd3e
- 909a235ac0349041b38d84e9aab3f3a1
- a5e64f196175c5f068e1352aa04bc5fa
- a5fdf55c1c50be471946de937f1e46dd
- aaef98be8e58be6b96566268c163b6aa
- adef679c6aa6860aa89b775dceb6958b
- bfd024e64867e6ca44738dd03d4f87b5
- c12ff86d32bd10c6c764b71728a51bce
- c3830b1381d95aa6f97a58fd8ff3524e
- c51bc86beb9e16d1c905160e96d9fa29
- c5dc2c75459dc99a42400f6d8b455250
- cf32d73c501d5924b3c98383f53fda51
- d94ffe668751935b19eaeb93fed1cdbe
- e3dc8810da71812b860fc59aeadcc350
- e9ed595b24a7eeb34ac52f57eeec6e2b
- eadbaabe3b8133426bcf09f7102088d4
- ec6a0434b94f51aa1df76a066aa05413
- ef262f571cd429d88f629789616365e4
- f58e0dfb8f915fa5ce1b7ca50c46b51b
