Check Point Research (CPR) провела углубленный анализ WezRat, модульного похитителя информации, приписываемого иранской кибергруппе Emennet Pasargad (Cotton Sandstorm).
WezRat Stealer
Анализ версий вредоносной программы привел к обнаружению частичного исходного кода бэкенда WezRat. Недавно об этой вредоносной программе было сообщено в совместной рекомендации ФБР, Министерства финансов США и Израильского национального управления кибербезопасности (INCD). Совместный совет по кибербезопасности, посвященный недавней деятельности иранской кибергруппы Emennet Pasargad, приписывает вредоносную программу иранской кибергруппе Emennet Pasargad, известной проведением киберопераций, направленных против США, Франции, Швеции и Израиля. В последнее время группа действует под названием Aria Sepehr Ayandehsazan (ASA) и связана с иранским Корпусом стражей исламской революции (КСИР). В рекомендациях подробно описаны операции, которые проводились в разных странах.
В середине 2023 года группа, действующая под именем Anzu Team, взломала шведский SMS-сервис и распространила сообщения, призывающие отомстить тем, кто несет ответственность за сожжение Корана, которое происходило в течение года. В декабре 2023 года группа, действующая под именем For-Humanity, получила несанкционированный доступ к американской компании, предоставляющей услуги потокового IPTV, чтобы транслировать специальные сообщения, касающиеся конфликта между Израилем и ХАМАС. В середине 2024 года группа развернула кампанию по дезинформации с помощью кибернетических средств во время летних Олимпийских игр. Они взломали французского провайдера, чтобы показать изображения, осуждающие участие израильских спортсменов. Кроме того, они рассылали угрозы израильским спортсменам под вывеской фальшивой ультраправой группы Regiment GUD, выдавая себя за реальную французскую группу GUD. На протяжении 2023 и 2024 годов группа провела множество операций влияния в Израиле, используя различные маскировочные личины, включая Cyber Flood, Contact-HSTG и Cyber Court.
Последняя версия WezRat была недавно распространена среди нескольких израильских организаций в волне электронных писем, выдающих себя за Израильское национальное киберуправление (INCD). Вредоносная программа может выполнять команды, делать скриншоты, загружать файлы, осуществлять кейлоггинг, похищать содержимое буфера обмена и файлы cookie. Некоторые функции выполняются отдельными модулями, получаемыми с командно-контрольного (C2) сервера в виде DLL-файлов, что делает основной компонент бэкдора менее подозрительным. Анализ версий вредоносной программы позволил обнаружить частичный исходный код бэкдора WezRat. Дальнейшее изучение WezRat и его бэкдора позволяет предположить, что за его разработку и эксплуатацию могут отвечать разные люди.
Indicators of Compromise
IPv4
- 194.11.226.9
- 194.4.49.175
- 45.120.177.8
- 45.143.167.87
- 46.249.58.136
Domains
- connect.il-cert.net
- il-cert.net
- onlinelive.info
SHA256
- 26f66196c463e6ec1f224d9f87c1f75d868c94bba5c8502b6cbe806e06614377
- 2cf3cd8b7df4e87ac17812511510a48be4a9546fed513b9204c7173364db7ae3
- 4431b2a4d7758907f81fb1a0c1e36b2ce03e08d43123b1c398487770afd20727
- 48a97f6aee23543909fc1b7341dff8aa0f1caba229d61d3b0de4e03df02b1ac0
- 53055662aeca79a319c8c59194f25bae1b33eab1a39cf18e8daa3602fbca900e
- 5c03ac7128fb6e8ad923897e3696e08c943f4c819e5c1bdbe3df2b5774692d3d
- 5e33c4a38c05f52918ffd4e49fd2d1b1a771010466ceb19eaf378daa02f71700
- 629dc03888412ae39d50cc17d5cbe579f2a99be03e6af2f071e68b7226f891d0
- 66b08e55d11f49493118e8a6cab1bb5f1953b2a4784a38c64cf7ed02bf781713
- 84366a894120d4a8c83411925ef04de52fa56da6fad0023a71f71a9bf21259ad
- 898595a6646b94f9735442ae65deb5f5364eddf2a7008f66e9d7ee8b6c08c285
- b96fad26fba197302fd11e1771e996387b7b23c2560e08f20c69069e173c7fa7
- cf12b2043a05729839a29ff4bd23b4088888da1153ca81040a6c048417254a36
- e1a5696dcae33657fd0aa2d1e7a36b84c4647975dab3063ac2f42c19dae0a5a1
- e37b95bb9bee64cc0313eaad8a0269493745f89413bd78b58bb3b479b36084ae
