19/08/22
Согласно анализу Mandiant, кибератаки на компании Израиля проводит иранская группировка UNC3890. Активность была впервые отмечена в конце 2020 года и продолжается до сих пор.
Основными целями являются правительство, судоходство, энергетика, авиация и сектор здравоохранения, пишут в Securitylab.
Большое внимание уделяется израильскому судоходству. По словам исследователей, хотя группа занимается сбором разведывательных данных, собранные данные могут быть использованы для поддержки различных действий, от взлома и утечки до проведения военных действий, которые происходят в судоходной отрасли в последние годы.
Первоначальный доступ UNC3890 осуществлялся через водопой ( watering hole ) и сбор учетных данных, для которого используются C2-серверы и фишинговые приманки. На серверах размещаются домены и фальшивые страницы входа, подделывающие Office 365, LinkedIn и Facebook*, на которых киберпреступники размещают поддельные предложения о работе и фальшивые рекламные ролики. Исследователи также обнаружили сервер UNC3890, содержащий данные Facebook* и Instagram*, которые могли быть использованы в атаках с использованием социальной инженерии.
Одной из фишинговых приманок был XLS-файл, имитирующий предложение о работе и предназначенный для установки одного из инструментов группы Sugardump. Это инструмент для сбора учетных данных, способный извлекать пароли из браузеров на основе Chromium и эксфильтровать собранную информацию. Кроме того, одна из версий Sugardump использует SMTP-протокол для связи с C2-сервером и адресами Yahoo, Yandex и Gmail для эксфильтрации.
Второй инструмент Sugarush представляет из себя бэкдор для установления соединения со встроенным C2-сервером и выполнения CMD команд. Другие инструменты группировки UNC3890 включают:
- Unicorn (инструмент для проведения PowerShell-атаки и внедрения шелл-кода в память);
- Metasploit;
- Northstar C2 (open-source среда C2 для пентеста и Red Teaming).
Исходя из анализа кода и целях группы, эксперты Mandiant могут предполагать, что UNC3890 является потенциально новой группой угроз, связанной с Ираном.
