СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11.05.2025
#ИБ#Инфра

Потенциальные угрозы кибербезопасности: Иранская группа APT34 активизируется

Потенциальные угрозы кибербезопасности: Иранская группа APT34 активизируется

В период с ноября 2024 по апрель 2025 года аналитики кибербезопасности зафиксировали активность, связанную с рядом бездействующих доменов и серверов, предназначенных для имитации академической организации в Ираке. Эти структуры также включали фиктивные британские технологические фирмы, демонстрируя высокую степень подготовленности к возможным атакам.

Основные характеристики наблюдаемой инфраструктуры

Несмотря на то что данная инфраструктура не проявляла активной вредоносной деятельности, её конфигурация обеспечивала значительный потенциал для раннего предупреждения об угрозах. Примечательные характеристики включают:

  • Общие SSH-ключи;
  • Схожие структуры веб-сайтов;
  • Специфические HTTP-ответы, включая использование порта 8080 для страниц «404 не найдено».

Такое поведение связано с тактикой, ранее приписываемой иранской хакерской группе APT34, также известной как OilRig, что подразумевает последовательность в методах работы.

Стратегия маскировки и фишинг

Домен biam-iraq.org был зарегистрирован на сервере компании Host Sailor, что соответствует названию законного учебного заведения. Он быстро переключился на IP-адрес, использовавшийся более четырех месяцев, что может свидетельствовать о подготовке к будущим атакам. Другие наблюдаемые домены, хотя и неактивные, включали поддомены:

  • mail.
  • webmail.
  • cpanel.
  • cpcontacts.

Это указывает на возможные намерения осуществлять фишинг или сбор учетных данных, что согласуется с исторической деятельностью APT34, нацеленной на образовательные и государственные инфраструктуры.

Долгосрочные планы и операционная эффективность

APT34 известна своим долгосрочным операционным планированием, включая настройку пользовательской инфраструктуры и тематику доменов, соответствующую целевым секторам. В данном случае были выявлены домены с вымышленным брендингом, связанными с несуществующими предприятиями и организациями. Это продемонстрировало стратегию создания легитимного внешнего вида, при этом такие подставные компании якобы предлагали услуги вроде индивидуальных решений и инноваций, но не имели никакой проверки.

Упредительная защита и выявление угроз

Анализ таких показателей, как доменные имена, отпечатки пальцев SSH, инфраструктура DNS и поведение в Интернете, предоставляет защитникам средствам основополагающие данные для проактивного мониторинга и выявления подобных угроз. В частности, HTTP-ответы на порт 8080, обычно используемые для статической страницы «404 не найдено», также могут быть применены для командно-контрольных операций, предполагая обманную тактику маскировки вредоносных действий.

Последовательное использование страниц с ошибками HTTP и заранее определенных соглашений об именовании повышает их полезность для обнаружения и долгосрочного мониторинга, позволяя аналитикам безопасности выявлять и устранять угрозы до начала их реализации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: