СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 июня
#ИБ

Проиранская группа Ababil of Minab уничтожала резервные копии и базы данных

Проиранский злоумышленник Ababil of Minab, впервые замеченный в марте 2026 года, развернул кампанию против организаций в США, Israel, Saudi Arabia и Turkey. По данным исследователей, группа заявляла о взятии на себя ответственности за атаки, включая подтвержденный взлом Metropolitan Transportation Authority of Los Angeles County (LACMTA).

Позднее, после детального отчета Gambit Security от 26 мая 2026 года, стало известно, что кампания носила не только разведывательный, но и разрушительный характер. Аналитики зафиксировали удаление баз данных SQL Server и уничтожение резервных копий Veeam в нескольких средах жертв.

Hunt.io обнаружила открытый server-накопитель

Ключевой прорыв в расследовании произошел после того, как Hunt.io выявила основной сервер-накопитель группы, работающий на 5.255.127.55:8020. Сервер, размещенный в Netherlands, оказался полностью открыт и содержал значительный объем конфиденциальных данных.

По оценке исследователей, на сервере находились 2 238 файлов общим объемом около 5 GB. Среди них обнаружились данные, похищенные у подтвержденных жертв, включая LA Metro, Ruppin Academic Center и несколько израильских организаций.

Что находилось в украденных данных

Анализ содержимого показал, что злоумышленники собирали широкий спектр чувствительной информации. В частности, речь шла о следующих категориях данных:

  • резервные копии баз данных Microsoft SQL Server;
  • кадровые записи;
  • конфигурации SCADA;
  • внутренние документы и operational records;
  • учетные данные в открытом виде;
  • конфигурационные файлы.

Особую обеспокоенность вызвало то, что часть учетных данных и конфигураций хранилась без защиты. Это создает условия для возможной дальнейшей эксплуатации инфраструктуры жертв.

Методы exfiltration и инфраструктура кампании

Hunt.io установила, что Ababil of Minab использовала несколько методов exfiltration. Один из них — пользовательский приемник на базе Flask, позволявший загружать большие файлы через защищенный процесс, основанный на chunks.

Исследователи отмечают, что оператор применял разные техники для сбора и сокрытия данных с web-серверов жертв, а также использовал публичные каталоги для размещения сжатых архивов, извлеченных из скомпрометированных систем.

В ряде случаев рабочие процессы передачи данных строились на применении хорошо известных протоколов, включая SCP. Такой подход указывает на попытку маскировать вредоносную активность под обычные административные операции.

Какие организации пострадали

Помимо LACMTA и Ruppin Academic Center, в числе затронутых сторон фигурируют:

  • турецкая brokerage company по страхованию;
  • израильская platform объявлений;
  • различные базы данных, содержащие конфиденциальную personal information;
  • несколько израильских организаций, чьи данные оказались на сервере злоумышленника.

Для части жертв последствия включали не только утечку данных, но и потенциальное нарушение работы критически важных систем. Это особенно опасно для организаций, связанных с транспортом, промышленной инфраструктурой и сервисами, где доступность имеет первостепенное значение.

IoCs и меры защиты

Неправильная конфигурация сервера промежуточного хранения и отсутствие базовых мер безопасности позволили исследователям сформировать обширный список indicators of compromise (IoCs), связанных с Ababil of Minab.

В качестве мер смягчения последствий специалисты рекомендуют:

  • усиленный monitoring конечных точек на предмет подозрительной активности;
  • защиту файлов резервных копий баз данных от несанкционированного доступа;
  • контроль публичных каталогов и промежуточных серверов хранения;
  • проверку на наличие открытых учетных данных и конфигурационных файлов;
  • регулярный анализ сетевой активности и нетипичных каналов передачи данных.

Что означает этот инцидент

Эта кампания подтверждает, что угрозы со стороны злоумышленников, подобных Ababil of Minab, остаются актуальными не только из-за кражи данных, но и из-за потенциального разрушения критической инфраструктуры. Совмещение exfiltration и destructive actions делает подобные операции особенно опасными.

Инцидент также подчеркивает необходимость строгих практик кибербезопасности, особенно в условиях растущей геополитической напряженности. Для организаций это означает приоритетную защиту резервных копий, контроль доступа к данным и постоянный мониторинг подозрительных действий в сети и на endpoints.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: