- 26,718
- 46
- 8 Ноя 2022
Разбираем по шагам новую схему иранских хакеров.
Иранские хакеры начали маскировать шпионские операции под атаки с вымогательским ПО Chaos. Специалисты заметили новую тактику, когда расследовали взлом, который сначала выглядел как обычная атака с требованием выкупа, но позже привёл к следам, связанным с иранской группировкой MuddyWater .
О находке сообщили специалисты Rapid7 . По их словам , применять Chaos помогает скрыть настоящие цели атак и усложнить поиск организаторов. MuddyWater связывают с Министерством разведки и национальной безопасности Ирана. Специалисты считают, что в последние месяцы MuddyWater усилила активность против организаций на Ближнем Востоке и в западных странах. Основная цель таких операций – кибершпионаж и подготовка к возможным разрушительным атакам на инфраструктуру.
В расследованном случае злоумышленники проникли в сеть компании через Microsoft Teams. Сотрудникам отправляли внешние запросы на переписку, после чего переводили разговор в личный чат. Затем хакеры убеждали жертву включить демонстрацию экрана, получали доступ к файлам с настройками <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span> и просили ввести учётные данные.
После того как проникли в систему, злоумышленники установили средство удалённого управления для закрепления в сети. Спустя некоторое время сотрудники компании начали получать письма с угрозами опубликовать украденные данные, если организация не выплатит выкуп. Сама схема вымогательства выглядела неубедительно, однако позже хакеры действительно опубликовали похищенные данные. Представители пострадавшей компании подтвердили подлинность утечки.
Подозрения у специалистов вызвало отсутствие шифрования файлов, которое обычно применяют операторы вымогательского ПО. Когда анализировали инфраструктуру и вредоносные программы, специалисты обнаружили инструменты и сертификаты, характерные для операций MuddyWater. Часть серверов, задействованных в атаке, уже фигурировала в другой кампании MuddyWater, направленной против организаций на Ближнем Востоке и в Северной Африке.
Chaos появился в феврале 2025 года. Специалисты по кибербезопасности считают, что проект создали бывшие участники закрытых группировок BlackSuit и Royal. По данным Rapid7, иранские хакеры всё чаще прикрывают шпионаж или диверсии вымогательским ПО.
Ранее MuddyWater уже связывали с экосистемой вымогательского ПО Qilin после атаки на израильскую организацию. Тогда расследование также привело к иранским спецслужбам. Специалисты предполагают, что переход к бренду Chaos снижает риск прямой атрибуции атак Ирану. На фоне обострения отношений между Ираном и США специалисты зафиксировали рост киберактивности со стороны иранских группировок. В последние месяцы хакеры применяли вымогательское ПО Pay2Key против американской медицинской организации, а также атаковали крупного производителя медицинского оборудования.
Иранские хакеры начали маскировать шпионские операции под атаки с вымогательским ПО Chaos. Специалисты заметили новую тактику, когда расследовали взлом, который сначала выглядел как обычная атака с требованием выкупа, но позже привёл к следам, связанным с иранской группировкой MuddyWater .
О находке сообщили специалисты Rapid7 . По их словам , применять Chaos помогает скрыть настоящие цели атак и усложнить поиск организаторов. MuddyWater связывают с Министерством разведки и национальной безопасности Ирана. Специалисты считают, что в последние месяцы MuddyWater усилила активность против организаций на Ближнем Востоке и в западных странах. Основная цель таких операций – кибершпионаж и подготовка к возможным разрушительным атакам на инфраструктуру.
В расследованном случае злоумышленники проникли в сеть компании через Microsoft Teams. Сотрудникам отправляли внешние запросы на переписку, после чего переводили разговор в личный чат. Затем хакеры убеждали жертву включить демонстрацию экрана, получали доступ к файлам с настройками <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span> и просили ввести учётные данные.
После того как проникли в систему, злоумышленники установили средство удалённого управления для закрепления в сети. Спустя некоторое время сотрудники компании начали получать письма с угрозами опубликовать украденные данные, если организация не выплатит выкуп. Сама схема вымогательства выглядела неубедительно, однако позже хакеры действительно опубликовали похищенные данные. Представители пострадавшей компании подтвердили подлинность утечки.
Подозрения у специалистов вызвало отсутствие шифрования файлов, которое обычно применяют операторы вымогательского ПО. Когда анализировали инфраструктуру и вредоносные программы, специалисты обнаружили инструменты и сертификаты, характерные для операций MuddyWater. Часть серверов, задействованных в атаке, уже фигурировала в другой кампании MuddyWater, направленной против организаций на Ближнем Востоке и в Северной Африке.
Chaos появился в феврале 2025 года. Специалисты по кибербезопасности считают, что проект создали бывшие участники закрытых группировок BlackSuit и Royal. По данным Rapid7, иранские хакеры всё чаще прикрывают шпионаж или диверсии вымогательским ПО.
Ранее MuddyWater уже связывали с экосистемой вымогательского ПО Qilin после атаки на израильскую организацию. Тогда расследование также привело к иранским спецслужбам. Специалисты предполагают, что переход к бренду Chaos снижает риск прямой атрибуции атак Ирану. На фоне обострения отношений между Ираном и США специалисты зафиксировали рост киберактивности со стороны иранских группировок. В последние месяцы хакеры применяли вымогательское ПО Pay2Key против американской медицинской организации, а также атаковали крупного производителя медицинского оборудования.
- Источник новости
- www.securitylab.ru
