Prince of Persia: Схватка с судьбой (и вашим Excel). Старейшие хакеры Ирана вернулись из цифрового небытия
NewsMakerГруппировка радикально сменила тактику и обновила свой арсенал до неузнаваемости.
После почти пятилетнего затишья иранская группировка Infy, также известная под именем Prince of Persia, вновь привлекла к себе внимание. ИБ-специалисты компании SafeBreach зафиксировали новую кампанию этой старейшей кибершпионской структуры, которая с 2004 года проводила атаки в разных странах, оставаясь при этом в тени других иранских групп.
Недавняя операция затронула жертв в Иране, Ираке, Турции, Индии, Канаде и ряде европейских стран. Основные инструменты группировки остались прежними — зловреды Foudre и Tonnerre. Первый служит для загрузки и запуска второго, а также сбора информации о заражённой системе. В обновлённой версии Foudre с индексом 34 специалисты обнаружили усовершенствованные методы доставки — теперь вредоносное ПО встраивается непосредственно в исполняемый файл, вложенный в документ Microsoft Excel, что делает атаку менее заметной.
Модернизированы и механизмы связи с управляющими серверами. Программа использует алгоритм генерации доменных имён, усложняющий отслеживание командных узлов. Кроме того, каждый день Foudre обращается к удалённому серверу за зашифрованной цифровой подписью, которую расшифровывает с помощью встроенного открытого ключа, чтобы убедиться, что соединение происходит с «правильным» сервером. Такой подход значительно затрудняет перехват и подделку трафика.
На серверах, используемых для управления заражёнными устройствами, специалисты обнаружили структуру, содержащую каталоги с журналами активности, украденными файлами и ключевыми данными для проверки подлинности управляющего узла. Также найдена директория «download», назначение которой пока не установлено, но предполагается, что она может использоваться для загрузки обновлений.
После почти пятилетнего затишья иранская группировка Infy, также известная под именем Prince of Persia, вновь привлекла к себе внимание. ИБ-специалисты компании SafeBreach зафиксировали новую кампанию этой старейшей кибершпионской структуры, которая с 2004 года проводила атаки в разных странах, оставаясь при этом в тени других иранских групп.
Недавняя операция затронула жертв в Иране, Ираке, Турции, Индии, Канаде и ряде европейских стран. Основные инструменты группировки остались прежними — зловреды Foudre и Tonnerre. Первый служит для загрузки и запуска второго, а также сбора информации о заражённой системе. В обновлённой версии Foudre с индексом 34 специалисты обнаружили усовершенствованные методы доставки — теперь вредоносное ПО встраивается непосредственно в исполняемый файл, вложенный в документ Microsoft Excel, что делает атаку менее заметной.
Модернизированы и механизмы связи с управляющими серверами. Программа использует алгоритм генерации доменных имён, усложняющий отслеживание командных узлов. Кроме того, каждый день Foudre обращается к удалённому серверу за зашифрованной цифровой подписью, которую расшифровывает с помощью встроенного открытого ключа, чтобы убедиться, что соединение происходит с «правильным» сервером. Такой подход значительно затрудняет перехват и подделку трафика.
На серверах, используемых для управления заражёнными устройствами, специалисты обнаружили структуру, содержащую каталоги с журналами активности, украденными файлами и ключевыми данными для проверки подлинности управляющего узла. Также найдена директория «download», назначение которой пока не установлено, но предполагается, что она может использоваться для загрузки обновлений.