Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

ИБ-эксперт идентифицировал APT-группу из дампа The Shadow Brokers

24/04/20

IrahackИсследователь безопасности Хуан Андрес Герреро-Сааде (Juan Andres Guerrero-Saade) рассказал об идентифицированной им APT-группировке, которая упоминается в коллекции хакерских инструментов Агентства национальной безопасности (АНБ), обнародованной The Shadow Brokers.

В 2017 году The Shadow Brokers взломали серверы группировки Equation Group, подозреваемой в связи с АНБ, и опубликовали в открытом доступе некоторые инструменты (вредоносное ПО, эксплоиты и инструменты для взлома) и информацию из арсенала авторов Stuxnet и Duqu.

Среди опубликованных данных также был обнаружен файл sigs.py, содержащий 44 сигнатуры для обнаружения вредоносных программ, используемых киберпреступниками. Герреро-Сааде удалось идентифицировать группировку, указанную под номером 37, хотя ранее специалисты предполагали, что под данной сигнатурой подразумевается китайская группировка Iron Tiger.

По словам специалиста, киберпреступная группировка, которую он назвал Nazar (на основе строки, найденной в коде вредоносного ПО), базируется в Иране, а ее активность прослеживается до 2008 года. Эксперту также удалось выявить жертв данной группировки, до сих пор зараженных ее вредоносным ПО. Примечательно, что жертвы преступников располагаются исключительно в Иране.

Nazar использовал модульный инструментарий с загрузчиком, предназначенным для незаметной регистрации нескольких DLL-библиотек в качестве OLE-элементов управления в реестре Windows через «regsvr32.exe». Загрузчики создавались с помощью уже несуществующего программного обеспечения Chilkat, а Zip2Secure использовался для создания самораспаковывающихся исполняемых файлов. Вредоносное ПО использовало библиотеки для cоздания скриншотов, записи данных через микрофон и кейлоггинга.

Темы:УгрозыИранShadow Brokers
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...