Иранская APT атаковала критическую инфраструктуру в Кувейте и Саудовской Аравии

Специалисты из компании Bitdefender сообщили о вредоносной кампании по кибершпионажу, организованной киберпреступной группировкой Chafer APT (также известной как APT39 или Remix Kitten). Преступники ранее атаковали телекоммуникационную и туристическую отрасли на Ближнем Востоке с целью сбора конфиденциальной информации, служащей геополитическим интересам страны. По словам экспертов, некоторые кибератаки датируются 2018 годом.

APT39 атакует свои цели посредством фишинговых писем с вредоносными вложениями и использованием разнообразных бэкдоров с целью повышения привилегий, проведения внутренней разведки и обеспечения персистентности.

В ходе атак на компании и организации в Кувейте преступники создавали учетную запись пользователя на компьютерах жертв и выполняли злонамеренные действия в сети, включая сканирование сети с помощью инструмента CrackMapExec для тестирования окружения Windows/Active Directory, сбор учетных данных авторизованных в системе пользователей с помощью инструмента Mimikatz, и перемещение по сети. Как отметили эксперты, большая часть преступной активности осуществлялась в пятницу и субботу, совпадая с выходными на Ближнем Востоке.

Атака на организации в Саудовской Аравии включала использование социальной инженерии с целью обмануть жертву и запустить инструмент для удаленного доступа (RAT). Один из обнаруженных компонентов, «snmp.exe», также присутствует на системах некоторых жертв в Кувейте под названием «imjpuexa.exe», указывая на связь между данными атаками.