Microsoft предупредила о растущей угрозе со стороны иранских хакерских группировок

Специалисты Microsoft Threat Intelligence Center (MSTIC) представили на конференции CyberWarCon 2021 результаты анализа деятельности нескольких иранских киберпреступных группировок. По словам экспертов, атаки иранских хакеров становятся все более изощренными.

С сентября 2020 года Microsoft отслеживает шесть иранских хакерских групп — Thanos (DEV-0146), Moses Staff (DEV-0500), Phosphorus, Rubidium (pay2key), Vice Leaker (DEV-0198) и Agrius (DEV-0227). Преступники устанавливают программы-вымогатели и похищают данные с целью вызвать сбои в работе систем жертв. Со временем данные группировки превратились в компетентных злоумышленников, способных вести кибершпионаж, использовать многоплатформенное вредоносное ПО, проводить операции с использованием программ-вымогателей и вайперов, проводить фишинговые атаки и даже осуществлять атаки на цепочки поставок.

Как отметили эксперты, хакеры сканировали Сеть на предмет устройств Fortinet FortiOS SSL VPN и серверов Microsoft Exchange, содержащих уязвимости ProxyShell и пр.

Еще одна тенденция, проявившаяся в прошлом году, заключается в повышенном уровне терпения и настойчивости в кампаниях социальной инженерии. Раньше такие группировки, как Phosphorus (также известная как Charming Kitten), рассылали электронные письма с вредоносными ссылками и вложениями, однако редко достигали своих целей. Теперь Phosphorus следует по трудоемкому пути «приглашений на собеседование» и в ходе атак инструктирует жертв нажимать на страницы сбора учетных данных в рамках процесса фальшивого собеседования.

Новая группировка Curium также придерживается подобной стратеги и использует обширную сеть поддельных учетных записей в социальных сетях, обычно маскируемых под привлекательных женщин. Они связываются с потенциальными жертвами и ежедневно пытаются завоевать их доверие. Затем в один прекрасный день они отправляют вредоносный документ, что приводит к скрытой установке вредоносных программ.

Похожую тактику использовала хакерская группировка, связанная с исламистским движением ХАМАС, которая создавала поддельные приложения для знакомств с целью обмануть израильских солдат и установить вредоносное ПО на их телефоны.

Хотя некоторые участники действуют более методично, другие предпочитают использовать брутфорс-атаки для агрессивного получения доступа к учетным записям пользователей Microsoft Office 365. Одной из таких новых группировок является DEV-0343, которая в прошлом месяце атаковала американские оборонные технологические компании.