Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

ИБ-эксперт идентифицировал APT-группу из дампа The Shadow Brokers

24/04/20

IrahackИсследователь безопасности Хуан Андрес Герреро-Сааде (Juan Andres Guerrero-Saade) рассказал об идентифицированной им APT-группировке, которая упоминается в коллекции хакерских инструментов Агентства национальной безопасности (АНБ), обнародованной The Shadow Brokers.

В 2017 году The Shadow Brokers взломали серверы группировки Equation Group, подозреваемой в связи с АНБ, и опубликовали в открытом доступе некоторые инструменты (вредоносное ПО, эксплоиты и инструменты для взлома) и информацию из арсенала авторов Stuxnet и Duqu.

Среди опубликованных данных также был обнаружен файл sigs.py, содержащий 44 сигнатуры для обнаружения вредоносных программ, используемых киберпреступниками. Герреро-Сааде удалось идентифицировать группировку, указанную под номером 37, хотя ранее специалисты предполагали, что под данной сигнатурой подразумевается китайская группировка Iron Tiger.

По словам специалиста, киберпреступная группировка, которую он назвал Nazar (на основе строки, найденной в коде вредоносного ПО), базируется в Иране, а ее активность прослеживается до 2008 года. Эксперту также удалось выявить жертв данной группировки, до сих пор зараженных ее вредоносным ПО. Примечательно, что жертвы преступников располагаются исключительно в Иране.

Nazar использовал модульный инструментарий с загрузчиком, предназначенным для незаметной регистрации нескольких DLL-библиотек в качестве OLE-элементов управления в реестре Windows через «regsvr32.exe». Загрузчики создавались с помощью уже несуществующего программного обеспечения Chilkat, а Zip2Secure использовался для создания самораспаковывающихся исполняемых файлов. Вредоносное ПО использовало библиотеки для cоздания скриншотов, записи данных через микрофон и кейлоггинга.

Темы:УгрозыИранShadow Brokers
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...