Иранская кибератака: угроза критически важной инфраструктуре Ближнего Востока
Команда FortiGuard по реагированию на инциденты (FGIR) завершила расследование продолжительного кибератакового вторжения, связанного с финансируемой иранским государством группой. Основной целью атаки стали критически важные национальные инфраструктуры (CNI) на Ближнем Востоке. Исследование подтвердило, что атака, начавшаяся не менее чем в мае 2023 года и проявляющая признаки компрометации с мая 2021 года, в первую очередь была нацелена на шпионаж и стратегическую подготовку сети.
Методы кибератак и инструменты злоумышленников
В отчете FGIR подробно рассматриваются новые тактики, методы и процедуры вредоносных программ и злоумышленников (TTP), а также показатели компрометации (IOCs) для разработки стратегий защиты.
Злоумышленники получали доступ с помощью украденных учетных данных VPN, после чего развертывали несколько веб-оболочек и сложных бэкдоров. К основным инструментам отметим:
- Havoc;
- HanifNet;
- HXLibrary;
- NeoExpressRAT.
Эти методы позволили злоумышленникам манипулировать сетью незамеченными, используя инструменты, такие как plink и Ngrok, для обхода сегментации сети.
Стратегия поэтапного внедрения вредоносного ПО
Атака проводилась поэтапно, и вредоносное ПО внедрялось постепенно, что демонстрировало методичный подход к укреплению позиций злоумышленников. Они проявили особый интерес к виртуализированной инфраструктуре, проведя разведку для получения подробной информации о расположении сети.
После первоначальных мер по сдерживанию, предпринятых жертвой, активность злоумышленников возросла, что привело к развертыванию новых веб-оболочек и использованию SystemBC, а также новых вредоносных программ, таких как NeoExpressRAT.
С декабря 2024 года злоумышленники использовали уязвимости в программном обеспечении ZKTeco ZKBioTime, о которых ранее не сообщалось, и проводили целенаправленные фишинговые кампании, используя скомпрометированные сторонние электронные письма для сбора учетных данных администратора.
Инфраструктура и предпочтения злоумышленников
Противники, выбирая свою инфраструктуру, предпочитали использовать VPS и избегали американских хостинг-провайдеров. Известные вредоносные программы, использованные во время операции, включали следующие:
- HanifNet — бэкдор на базе .NET для постоянного доступа;
- HXLibrary — вредоносный модуль IIS для осуществления контроля над системой;
- NeoExpressRAT — бэкдор на базе Golang с жестко запрограммированной командно-управляющей связью;
- RemoteInjector — инструмент для выполнения бэкдоров Havoc через запланированные задачи.
Результаты и выводы отчета
Несмотря на то что жертва поддерживала сильно сегментированную сеть, включая среду с ограниченными операционными технологиями (OT), подтвержденных сбоев в работе систем OT зафиксировано не было. Однако усилия по сбору учетных данных и разведывательные действия в этих сегментах указывают на значительный враждебный интерес злоумышленников.
Такая настойчивость подчеркивает необходимость постоянного совершенствования организациями своих протоколов обнаружения и реагирования для борьбы со все более изощренной тактикой, применяемой в финансируемых государством кибероперациях.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
