- 26,739
- 46
- 8 Ноя 2022
Зачем строить свою инфраструктуру, если есть обычный файлообменник для всех?
Иранская хакерская группировка Seedworm почти неделю скрытно находилась в сети крупного южнокорейского производителя электроники. За это время злоумышленники собирали данные, похищали учётные записи и выкачивали файлы через обычный сервис обмена документами, которым пользуются миллионы людей.
Кампания затронула как минимум девять организаций в девяти странах. Под удар попали промышленные компании, государственные структуры, финансовые организации, учебные заведения и даже международный аэропорт на Ближнем Востоке. Специалисты связывают Seedworm, также известную как MuddyWater и Temp Zagros, с Министерством разведки и национальной безопасности Ирана.
Атакующие использовали легальные файлы популярных программ, чтобы скрыть вредоносную активность. Для запуска вредоносных библиотек Seedworm применила подписанные компоненты Fortemedia и SentinelOne. Такой подход помогает обходить защиту и усложняет анализ инцидента, поскольку вредоносный код маскируется под обычное программное обеспечение.
Внутри сети южнокорейской компании злоумышленники действовали через Node.js и сценарии PowerShell. Сначала вредоносное ПО собирало сведения о компьютере, учётной записи пользователя, домене и защитных средствах. Затем группировка начала делать снимки экрана, выгружать системные базы Windows с хэшами паролей и пытаться повысить привилегии.
Для кражи учётных данных Seedworm использовала несколько инструментов одновременно. Один из них выводил стандартное окно Windows с запросом имени пользователя и пароля, после чего сохранял введённые данные в файл на диске. Другой инструмент запрашивал билеты Kerberos , чтобы получить доступ к учётным записям с высокими привилегиями без знания пароля администратора.
Хакеры также применяли DLL sideloading . Вредоносные библиотеки запускались через легальные исполняемые файлы fmapp.exe и sentinelmemoryscanner.exe. Внутри библиотек находился инструмент ChromElevator, способный похищать пароли, файлы cookie и данные банковских карт из браузеров на базе Chromium.
Для закрепления в системе Seedworm добавила запись в раздел автозагрузки Windows. После каждой авторизации пользователя вредоносный модуль запускался автоматически. Затем злоумышленники регулярно проверяли внешний IP-адрес заражённого компьютера и поддерживали соединение через SOCKS5-туннель.
Похищенные данные отправлялись через сервис sendit.sh. Вместо собственной инфраструктуры группировка воспользовалась публичной площадкой для передачи файлов, чтобы замаскировать трафик под обычную пользовательскую активность. VirusTotal уже связывал sendit.sh с вредоносными операциями.
Специалисты Symantec отмечают , что Seedworm заметно изменила методы работы за последние годы. Группировка перешла от шумных сценариев PowerShell к более скрытным цепочкам на базе Node.js, стала активно использовать подписанные файлы известных компаний и применять резервные инструменты для кражи учётных данных на случай блокировки отдельных компонентов защитой.
География атак также расширилась. Если раньше Seedworm в основном действовала на Ближнем Востоке и в Южной Азии, теперь группировка активно атакует организации в Восточной Азии и других регионах. По мнению специалистов, Иран стремится получить доступ к технологическим разработкам, промышленным данным и информации о государственных структурах на фоне продолжающейся напряжённости вокруг ядерной программы страны.
Иранская хакерская группировка Seedworm почти неделю скрытно находилась в сети крупного южнокорейского производителя электроники. За это время злоумышленники собирали данные, похищали учётные записи и выкачивали файлы через обычный сервис обмена документами, которым пользуются миллионы людей.
Кампания затронула как минимум девять организаций в девяти странах. Под удар попали промышленные компании, государственные структуры, финансовые организации, учебные заведения и даже международный аэропорт на Ближнем Востоке. Специалисты связывают Seedworm, также известную как MuddyWater и Temp Zagros, с Министерством разведки и национальной безопасности Ирана.
Атакующие использовали легальные файлы популярных программ, чтобы скрыть вредоносную активность. Для запуска вредоносных библиотек Seedworm применила подписанные компоненты Fortemedia и SentinelOne. Такой подход помогает обходить защиту и усложняет анализ инцидента, поскольку вредоносный код маскируется под обычное программное обеспечение.
Внутри сети южнокорейской компании злоумышленники действовали через Node.js и сценарии PowerShell. Сначала вредоносное ПО собирало сведения о компьютере, учётной записи пользователя, домене и защитных средствах. Затем группировка начала делать снимки экрана, выгружать системные базы Windows с хэшами паролей и пытаться повысить привилегии.
Для кражи учётных данных Seedworm использовала несколько инструментов одновременно. Один из них выводил стандартное окно Windows с запросом имени пользователя и пароля, после чего сохранял введённые данные в файл на диске. Другой инструмент запрашивал билеты Kerberos , чтобы получить доступ к учётным записям с высокими привилегиями без знания пароля администратора.
Хакеры также применяли DLL sideloading . Вредоносные библиотеки запускались через легальные исполняемые файлы fmapp.exe и sentinelmemoryscanner.exe. Внутри библиотек находился инструмент ChromElevator, способный похищать пароли, файлы cookie и данные банковских карт из браузеров на базе Chromium.
Для закрепления в системе Seedworm добавила запись в раздел автозагрузки Windows. После каждой авторизации пользователя вредоносный модуль запускался автоматически. Затем злоумышленники регулярно проверяли внешний IP-адрес заражённого компьютера и поддерживали соединение через SOCKS5-туннель.
Похищенные данные отправлялись через сервис sendit.sh. Вместо собственной инфраструктуры группировка воспользовалась публичной площадкой для передачи файлов, чтобы замаскировать трафик под обычную пользовательскую активность. VirusTotal уже связывал sendit.sh с вредоносными операциями.
Специалисты Symantec отмечают , что Seedworm заметно изменила методы работы за последние годы. Группировка перешла от шумных сценариев PowerShell к более скрытным цепочкам на базе Node.js, стала активно использовать подписанные файлы известных компаний и применять резервные инструменты для кражи учётных данных на случай блокировки отдельных компонентов защитой.
География атак также расширилась. Если раньше Seedworm в основном действовала на Ближнем Востоке и в Южной Азии, теперь группировка активно атакует организации в Восточной Азии и других регионах. По мнению специалистов, Иран стремится получить доступ к технологическим разработкам, промышленным данным и информации о государственных структурах на фоне продолжающейся напряжённости вокруг ядерной программы страны.
- Источник новости
- www.securitylab.ru
