Контакты
Подписка 2025
ITSEC 2025
Защищенный удаленный доступ к ИТ-инфраструктуре. Обсуждаем решения 3 июля на онлайн-конференции
Регистрируйтесь и участвуйте!

ИБ-эксперт идентифицировал APT-группу из дампа The Shadow Brokers

24/04/20

IrahackИсследователь безопасности Хуан Андрес Герреро-Сааде (Juan Andres Guerrero-Saade) рассказал об идентифицированной им APT-группировке, которая упоминается в коллекции хакерских инструментов Агентства национальной безопасности (АНБ), обнародованной The Shadow Brokers.

В 2017 году The Shadow Brokers взломали серверы группировки Equation Group, подозреваемой в связи с АНБ, и опубликовали в открытом доступе некоторые инструменты (вредоносное ПО, эксплоиты и инструменты для взлома) и информацию из арсенала авторов Stuxnet и Duqu.

Среди опубликованных данных также был обнаружен файл sigs.py, содержащий 44 сигнатуры для обнаружения вредоносных программ, используемых киберпреступниками. Герреро-Сааде удалось идентифицировать группировку, указанную под номером 37, хотя ранее специалисты предполагали, что под данной сигнатурой подразумевается китайская группировка Iron Tiger.

По словам специалиста, киберпреступная группировка, которую он назвал Nazar (на основе строки, найденной в коде вредоносного ПО), базируется в Иране, а ее активность прослеживается до 2008 года. Эксперту также удалось выявить жертв данной группировки, до сих пор зараженных ее вредоносным ПО. Примечательно, что жертвы преступников располагаются исключительно в Иране.

Nazar использовал модульный инструментарий с загрузчиком, предназначенным для незаметной регистрации нескольких DLL-библиотек в качестве OLE-элементов управления в реестре Windows через «regsvr32.exe». Загрузчики создавались с помощью уже несуществующего программного обеспечения Chilkat, а Zip2Secure использовался для создания самораспаковывающихся исполняемых файлов. Вредоносное ПО использовало библиотеки для cоздания скриншотов, записи данных через микрофон и кейлоггинга.

Темы:УгрозыИранShadow Brokers
КИИ
Как минимизировать киберриски и обеспечить непрерывность бизнеса: управление инцидентами
Узнайте на конференции 31 июля →
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Отечественное ПО для объектов КИИ
Участвуйте 23 июля →

Еще темы...

More...