СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
08.05.2025
#ИБ#ИИ#Инфра

Иранская кибероперация: поддельное модельное агентство собирает данные

Иранская кибероперация: поддельное модельное агентство собирает данные

Источник: unit42.paloaltonetworks.com

Подразделение 42 раскрыло сложную кибероперацию, возможно, приписываемую иранскому хакеру, использующему подложное модельное агентство в Германии для сбора конфиденциальных данных. Эта операция подчеркивает нарастающие риски для людей и организаций, защищающих иранских диссидентов.

Мошеннический сайт

В центре этой кибероперации находится мошеннический веб-сайт megamodelstudio.com, зарегистрированный 18 февраля 2025 года. Сайт полностью копирует бренд и содержание гамбургского модельного агентства Mega Model Agency и использует сложный JavaScript для сбора информации о посетителях.

Технические детали сбора данных

Сайт функционирует на основе нескольких методов для получения данных о пользователях, включая:

  • Снятие отпечатков пальцев с canvas;
  • Утечка IP-адресов через WebRTC;
  • Сбор информации о конфигурации браузера и разрешении экрана.

Собранные данные структурируются в формате JSON и отправляются на конечную точку под видом безобидного рекламного трафика.

Риски и угрозы

Кроме того, на сайте присутствует сфабрикованный профиль модели со ссылкой на личный альбом, служащий приманкой для целенаправленных атак социальной инженерии. На момент обнаружения ссылка не функционировала, однако сама операция указывает на тактику, использующуюся известными иранскими группами APT, в частности, небольшой группировкой, связанной с «Агентом Серпенсом» (APT35 или Очаровательный котенок).

Эта группа славится шпионскими операциями против иранских диссидентов, журналистов и активистов по всему миру. Хотя до сих пор не было зафиксировано прямого взаимодействия с жертвами, существуют опасения, что подобные сайты могут заманивать пользователей через фишинговые атаки.

Рекомендации по кибербезопасности

Организациям, действующим в интересах иранских активистов, настоятельно рекомендуется:

  • Проявлять повышенную бдительность;
  • С осторожностью относиться к нежелательным контактам;
  • Использовать расширенную фильтрацию URL-адресов;
  • Применять передовые средства защиты DNS для выявления доменов, связанных с вредоносной деятельностью.

Обнаружение уязвимостей в реальном времени облегчается с помощью решений, основанных на машинном обучении, что также своевременно подчеркивает необходимость повышения уровня безопасности.

Данная операция служит напоминанием о рисках, которым подвергаются отдельные лица и организации, которые выступают в защиту иранских диссидентов, а также отражает растущую изощренность киберугроз со стороны хакеров из этого региона.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: