СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:47
#ИБ

CRESCENTHARVEST: изощренная кампания кибершпионажа против иранских протестующих

CRESCENTHARVEST — изощрённая кампания по кибершпионажу, направленная, по данным подразделения по исследованию угроз Acronis (TRU), на иранских протестующих и их сторонников. По версии исследователей, злоумышленники добиваются не только кражи конфиденциальной информации, но и долгосрочного наблюдения за жертвами, используя целевую социально-инженерную атаку для установления первоначального доступа.

Ключевые тактики и сценарии заражения

Оперативные методы, наблюдаемые в ходе кампании, соотносятся с ранее известными приёмами, которые исследователи атрибутируют иранским злоумышленникам. Среди основных тактик отмечены:

  • целевой spear-phishing с использованием социально спланированных сообщений;
  • распространение файлов LNK, маскируемых под безопасные ярлыки, которые при взаимодействии пользователя запускают вредоносные скрипты PowerShell или CMD;
  • закрепление в системе через создание запланированной задачи, триггерящейся по сетевому событию EventID 10000, а не по традиционным условиям запуска;
  • использование сложной архитектуры управления и коммуникаций (C2) для удалённого контроля и сбора данных.

Зловредные компоненты: что делает malware

Согласно анализу, в рамках атаки используются по меньшей мере две критические DLL-библиотеки:

  • urtcbased140d_d.dll — облегчает извлечение и расшифровку ключей шифрования, привязанных к приложениям Chrome;
  • вторая библиотека, обозначенная в отчёте как версия.dll, функционирует как инструмент удалённого доступа (RAT) и способна собирать учётные данные, в том числе из браузеров и Telegram, а также выполнять произвольные команды на скомпрометированной системе.

После успешного заражения вредоносное ПО обеспечивает устойчивое присутствие в системе и даёт злоумышленникам широкий набор возможностей по сбору информации и удалённому управлению.

Инфраструктура управления (C2)

Командная инфраструктура кампании демонстрирует продуманную устойчивость и попытки запутать расследование. В отчёте указано следующее:

  • основной домен C2 — servicelog-information.com;
  • ассоциированный IP-адрес — 185.242.105.230;
  • инфраструктура размещена в Латвии и использует недорогие хостинг-провайдеры, что говорит о фокусе на эксплуатационной устойчивости и возможности быстрой замены ресурсов;
  • синтаксис команд C2 указывает на высокую гибкость управления вредоносным ПО и реализацию обширного набора командных сценариев.

Виктимология и тематическая направленность

Анализ полезной нагрузки показывает, что среди материалов, используемых в атаках, присутствуют документы на фарси, что указывает на ориентированность на иранскую аудиторию и связь с динамикой местных протестов. Это усиливает версию о целевой направленности кампании на активистов, журналистов и их окружение.

Атрибуция и неопределённости

Несмотря на сходство тактик с предыдущими операциями, которые исследователи связывают с иранскими злоумышленниками, Acronis TRU подчёркивает, что однозначная атрибуция остаётся затруднительной. Лёгкость имитации приёмов другими группами и возможность использования ложных следов делает окончательные выводы о заказчике или мотивах менее надёжными.

Последствия и рекомендации

Кампания представляет собой серьёзную угрозу приватности и безопасности для целевых групп. Рекомендуемые меры, исходя из особенностей атаки:

  • усиление обучения пользователей по распознаванию spear-phishing и опасности открытия сомнительных LNK-ярлыков;
  • ограничение возможности исполнения скриптов PowerShell и CMD для нелегитимных ярлыков и контроль политики запуска;
  • мониторинг и расследование нестандартных запланированных задач, особенно тех, что триггерятся по EventID 10000;
  • слежение за сетевыми соединениями к домену servicelog-information.com и IP 185.242.105.230, при необходимости — их блокировка;
  • проверка присутствия указанных DLL и проведение глубокой аудита учётных данных браузеров и мессенджеров.

Хотя исследование Acronis TRU предоставляет важные детали о механизмах и целях CRESCENTHARVEST, организациям и отдельным пользователям следует учитывать неопределённость в вопросе атрибуции и сохранять бдительность в отношении похожих операций.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: