Обнаружена новая иранская хакерская группа, атакуюущая Израиль

Согласно анализу Mandiant, кибератаки на компании Израиля проводит иранская группировка UNC3890. Активность была впервые отмечена в конце 2020 года и продолжается до сих пор.

Основными целями являются правительство, судоходство, энергетика, авиация и сектор здравоохранения, пишут в Securitylab.

Большое внимание уделяется израильскому судоходству. По словам исследователей, хотя группа занимается сбором разведывательных данных, собранные данные могут быть использованы для поддержки различных действий, от взлома и утечки до проведения военных действий, которые происходят в судоходной отрасли в последние годы.

Первоначальный доступ UNC3890 осуществлялся через водопой ( watering hole ) и сбор учетных данных, для которого используются C2-серверы и фишинговые приманки. На серверах размещаются домены и фальшивые страницы входа, подделывающие Office 365, LinkedIn и Facebook*, на которых киберпреступники размещают поддельные предложения о работе и фальшивые рекламные ролики. Исследователи также обнаружили сервер UNC3890, содержащий данные Facebook* и Instagram*, которые могли быть использованы в атаках с использованием социальной инженерии.

Одной из фишинговых приманок был XLS-файл, имитирующий предложение о работе и предназначенный для установки одного из инструментов группы Sugardump. Это инструмент для сбора учетных данных, способный извлекать пароли из браузеров на основе Chromium и эксфильтровать собранную информацию. Кроме того, одна из версий Sugardump использует SMTP-протокол для связи с C2-сервером и адресами Yahoo, Yandex и Gmail для эксфильтрации.

Второй инструмент Sugarush представляет из себя бэкдор для установления соединения со встроенным C2-сервером и выполнения CMD команд. Другие инструменты группировки UNC3890 включают:

• Unicorn (инструмент для проведения PowerShell-атаки и внедрения шелл-кода в память);
• Metasploit;
• Northstar C2 (open-source среда C2 для пентеста и Red Teaming).

Исходя из анализа кода и целях группы, эксперты Mandiant могут предполагать, что UNC3890 является потенциально новой группой угроз, связанной с Ираном.