Иранские гос.учреждения подверглись атаке усовершенствованного бэкдора
20/01/23
Хакерская группировка BackdoorDiplomacy, упомянутая впервые в 2021 году, была замечена в новой волне атак на иранские правительственные учреждения в период с июля по конец декабря 2022 года. Это передает Securitylab.
Специалисты из подразделения Unit 42 компании Palo Alto Networks дали группировке своё собственное название «Playful Taurus» (от англ. «игривый телец»). Они заявили, что наблюдали попытки иранских правительственных доменов подключиться к инфраструктуре вредоносного ПО, связанного со злоумышленниками.
Совсем недавно хакеры были замечены в атаке на неназванную телекоммуникационную компанию на Ближнем Востоке. Они воспользовались вредоносом Quarian (предшественником Turian), который обеспечивает удаленный доступа к целевым сетям.
Turian «остается в стадии активной разработки, и, по нашим оценкам, он используется исключительно хакерами Playful Taurus», — говорится в отчете Unit 42. Специалисты также отметили, что они наблюдали за четырьмя различными иранскими организациями, включая государственные, которые обращались к известному командно-административному серверу (C2), приписываемому этой группе.
«Ежедневный характер подключений к инфраструктуре предполагает вероятную компрометацию этих сетей», — говорится в сообщении.
Новые версии бэкдора Turian содержат дополнительную обфускацию, а также обновленный алгоритм дешифровки, используемый для извлечения серверов C2. Однако само по себе вредоносное ПО является универсальным, поскольку оно предлагает базовые функции для подключения, выполнения команд и запуска обратных оболочек.
Утверждается, что интерес группировки BackdoorDiplomacy к Ирану имеет геополитические последствия. Ведь все эти атаки происходят на фоне соглашения, подписанного между Китаем и Ираном для развития экономического, военного сотрудничества и сотрудничества в области безопасности.
«Playful Taurus продолжает развивать свою тактику и инструменты. Недавние обновления бэкдора Turian и новой инфраструктуры C2 позволяют предположить, что группировка продолжает добиваться успеха в своих кампаниях кибершпионажа»», — говорят исследователи Unit 42.