Social media

Irański atak cyberszpiegowski. Celem firmy z branży lotniczej i telekomunikacyjnej w regionie

Fot. sina drakhshani/Unsplash
Fot. sina drakhshani/Unsplash

Irańscy hakerzy prowadzą aktywne działania cyberszpiegowskie w wykorzystaniem trojanów ShellClient oraz MalKamak – wynika z analiz firmy Cybereason. Według ekspertów, działania cyberprzestępców są kontrolowane przez irańskie służby i wymierzone w sektor lotniczy i telekomunikacyjny w państwach regionu, między innymi w Izraelu.

Pojawiły się szczegóły dotyczące nowej kampanii cyberszpiegostwa skierowanej przeciwko przemysłowi lotniczemu i telekomunikacyjnemu, głównie na Bliskim Wschodzie, której celem jest wykradanie poufnych informacji o kluczowych zasobach firm, a także ich infrastrukturze i technologii.

ShellCilient i MalKamak w akcji

Zajmująca się cyberbezpieczeństwem firma Cybereason nazwała ataki „Operacją Ghostshell, wskazując na wykorzystanie wcześniej nieudokumentowanego trojana zdalnego dostępu (RAT) o nazwie ShellClient, który został wdrożony jako narzędzie szpiegowskie.

Zgodnie z raportem pierwsze oznaki ataków zostały zaobserwowane w lipcu 2021 roku, w stosunku do ręcznie dobranej grupy ofiar, co wskazuje na bardzo ukierunkowane podejście hakerów.

„RAT ShellClient był w ciągłym rozwoju od co najmniej 2018 roku, z kilkoma iteracjami, które wprowadzały nowe funkcjonalności, podczas gdy trojan wymykał się narzędziom antywirusowym i udało mu się pozostać niewykrytym i publicznie nieznanym - stwierdzili badacze Tom Fakterman, Daniel Frank, Chen Erlich i Assaf Dahan z Cybereason.

Powiązania z państwem irańskim

Według ustaleń, złośliwe oprogramowanie było w ciągłym rozwoju z nowymi funkcjami i możliwościami dodawanymi przez jego autorów. Co więcej, cyberprzestępcy stojący za atakami wdrożyli także nieznany plik wykonywalny o nazwie lsa.exe w celu przejmowania danych uwierzytelniających.

Śledztwo w sprawie ataków doprowadziło również do odkrycia zupełnie nowego irańskiego złośliwego oprogramowania o nazwie MalKamak, który działał mniej więcej w tym samym okresie i do tej pory nie został wykryty, ani przeanalizowany.

Możliwe, że jest on powiązany z innymi sponsorowanymi przez państwo irańskie narzędziami APT, takimi jak Chafer APT (aka APT39) i Agrius APT, z których ten ostatni jest odpowiedzialny za serię włamań do systemów wymazujących dane z systemów podmiotów izraelskich.

image
Fot. Cybereason

 

Dropbox w rękach hakerów

Według ekspertów, dostępne dane pozwalają sądzić, że prowadzone obecnie działania cyberszpiegowskie są inspirowane i kontrolowane przez irańskie służby.

Oprócz przeprowadzania rekonesansu i wydobywania poufnych danych, ShellClient został zaprojektowany jako plik wykonywalny, który jest zdolny do przechwytywania odcisków palców i operacji w rejestrze. Na uwagę zasługuje również fakt, że RAT wykorzystuje usługi przechowywania danych w chmurze, takie jak Dropbox, próbując pozostać niezauważonym poprzez wtopienie się w legalny ruch sieciowy.

Analitycy informują, że Dropbox zawiera trzy foldery, z których każdy przechowuje informacje o zainfekowanych maszynach, polecenia do wykonania przez ShellClient RAT i wyniki tych poleceń.

„Co dwie sekundy maszyna ofiary sprawdza folder z komendami, pobiera pliki i komendy, przetwarza ich zawartość, usuwa je ze zdalnego folderu i umożliwia ich wykonanie - twierdzą badacze.

Powyższy sposób działania odzwierciedla taktykę przyjętą przez innego sprawcę zagrożenia o nazwie IndigoZebra, który został ujawniony jako wykorzystujący API Dropboksa do przechowywania poleceń w specyficznym dla ofiary podfolderze, który jest pobierany przez złośliwe oprogramowanie.


Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected] Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture. 

image
Fot. Reklama

 

Komentarze

    Czytaj także