05/12/24
Исследовательская команда ThreatBook обнаружила использование поддельных сайтов хакерской группировкой APT35, целью которых является установка вредоносного ПО на компьютеры жертв.
Группа APT35 (Magic Hound, Cobalt Illusion, Charming Kitten), финансируемая Ираном и связанная с Корпусом стражей исламской революции (КСИР), активно действует с 2014 года, напоминает Securitylab. Среди основных целей — энергетические компании, государственные учреждения и технологические предприятия на Ближнем Востоке, в США и других странах, пишет Se.
Анализ выявил атаки, направленные на аэрокосмическую и полупроводниковую отрасли США, Таиланда, ОАЭ и Израиля. Для своих операций злоумышленники используют фишинговые сайты, маскирующиеся под порталы по найму сотрудников или корпоративные ресурсы. На таких сайтах размещаются программы, сочетающие легитимные элементы и вредоносные модули, которые пользователи загружают и запускают.
На одном из сайтов, нацеленном на эксперта по разработке дронов из Таиланда, обнаружена программа SignedConnection.exe для скрытного запуска вредоносных DLL-модулей, которые позволяют хакерам создавать автозапуск вредоносного ПО через реестр Windows, изменять файлы и избегать статического анализа, а также создавать скрытые копии для последующего выполнения. Более того, обнаруженные жестко закодированные учетные данные могут указывать на целенаправленный характер атаки.
Для обхода защиты используются популярные интернет-ресурсы, такие как OneDrive, Google Cloud и GitHub, а также сложные методы шифрования строк. C2-серверы расположены на различных платформах, включая GitHub и OneDrive, а резервные адреса записаны в коде.
Другая атака была направлена на полупроводниковую компанию. Здесь использовалась поддельная VPN-программа, содержащая DLL-модуль, который действует как загрузчик для вредоносного ПО. Вредоносный трафик направляется на C2-сервера, а для приманки жертв использовались поддельные PDF-документы.
Среди используемых ресурсов обнаружены жестко закодированные резервные адреса C2-серверов, такие как msdnhelp.com. Аналитики предполагают, что следующим этапом злоумышленники могли бы загрузить троян, однако финальный образец зафиксировать не удалось.
ThreatBook собрала индикаторы компрометации, включая вредоносные файлы, IP-адреса и домены, которые были использованы в атаках. Для защиты от подобных угроз рекомендуется использовать решения, обеспечивающие анализ угроз и блокировку вредоносной активности.
