Война идёт на двух фронтах — один в Иране, второй в почте. Как новости о бомбёжках стали идеальной приманкой
NewsMakerКибервойна началась через сутки после первого удара.
Пока вокруг военного конфликта продолжается боевая активность, киберпространство быстро наполняется другой активностью: фишингом , кражей учетных данных и попытками закрепиться в сетях госструктур . Исследователи Proofpoint зафиксировали сразу несколько кампаний, которые с начала марта используют тему ударов как приманку для атак на ведомства и дипломатические организации на Ближнем Востоке. В подборке оказались как уже известные группы, так и новые кластеры, которым компания пока дала временные обозначения. Среди предполагаемых источников активности Proofpoint называет Китай, Беларусь, Пакистан, ХАМАС и Иран.
По оценке Proofpoint, часть игроков просто встроила тему конфликта в привычные операции, чтобы повысить открываемость писем и доверие к вложениям. Но у некоторых кампаний заметен и более конкретный интерес к разведывательному сбору данных против ближневосточных государственных и дипломатических структур. Исследователи отдельно подчеркивают, что конфликт работает сразу в двух ролях: как удобный сюжет для социальной инженерии и как повод усилить сбор региональной информации о ходе войны и ее политических последствиях.
Первая из описанных операций, UNK_InnerAmbush, началась уже 1 марта, на следующий день после старта конфликта. Кампания была нацелена на государственные и дипломатические организации на Ближнем Востоке. Письма отправляли с вероятно скомпрометированного адреса и вели на Google Drive. В первой волне злоумышленники использовали тему смерти аятоллы Али Хаменеи и обещали прислать чувствительные снимки якобы от американского внешнеполитического ведомства. Позже приманку сменили на другой сюжет: материалы о том, что Израиль якобы готовит удар по нефтегазовой инфраструктуре стран Персидского залива, чтобы переложить ответственность на Иран.
Дальше схема становилась заметно серьезнее обычного фишинга . На Google Drive лежали архивы с паролем, внутри которых находились LNK-файлы, замаскированные под изображения JPG. После запуска жертве показывали приманочный файл, а в фоне начиналась загрузка через DLL sideloading: подписанный исполняемый файл nvdaHelperRemoteLoader.exe подхватывал вредоносную библиотеку, которая расшифровывала и запускала Cobalt Strike из отдельного файла. Для связи с управляющим сервером использовался домен support.almersalstore[.]com. В письмах также были уникальные трекинговые пиксели, чтобы отслеживать, кто именно открыл сообщение.
Пока вокруг военного конфликта продолжается боевая активность, киберпространство быстро наполняется другой активностью: фишингом , кражей учетных данных и попытками закрепиться в сетях госструктур . Исследователи Proofpoint зафиксировали сразу несколько кампаний, которые с начала марта используют тему ударов как приманку для атак на ведомства и дипломатические организации на Ближнем Востоке. В подборке оказались как уже известные группы, так и новые кластеры, которым компания пока дала временные обозначения. Среди предполагаемых источников активности Proofpoint называет Китай, Беларусь, Пакистан, ХАМАС и Иран.
По оценке Proofpoint, часть игроков просто встроила тему конфликта в привычные операции, чтобы повысить открываемость писем и доверие к вложениям. Но у некоторых кампаний заметен и более конкретный интерес к разведывательному сбору данных против ближневосточных государственных и дипломатических структур. Исследователи отдельно подчеркивают, что конфликт работает сразу в двух ролях: как удобный сюжет для социальной инженерии и как повод усилить сбор региональной информации о ходе войны и ее политических последствиях.
Первая из описанных операций, UNK_InnerAmbush, началась уже 1 марта, на следующий день после старта конфликта. Кампания была нацелена на государственные и дипломатические организации на Ближнем Востоке. Письма отправляли с вероятно скомпрометированного адреса и вели на Google Drive. В первой волне злоумышленники использовали тему смерти аятоллы Али Хаменеи и обещали прислать чувствительные снимки якобы от американского внешнеполитического ведомства. Позже приманку сменили на другой сюжет: материалы о том, что Израиль якобы готовит удар по нефтегазовой инфраструктуре стран Персидского залива, чтобы переложить ответственность на Иран.
Дальше схема становилась заметно серьезнее обычного фишинга . На Google Drive лежали архивы с паролем, внутри которых находились LNK-файлы, замаскированные под изображения JPG. После запуска жертве показывали приманочный файл, а в фоне начиналась загрузка через DLL sideloading: подписанный исполняемый файл nvdaHelperRemoteLoader.exe подхватывал вредоносную библиотеку, которая расшифровывала и запускала Cobalt Strike из отдельного файла. Для связи с управляющим сервером использовался домен support.almersalstore[.]com. В письмах также были уникальные трекинговые пиксели, чтобы отслеживать, кто именно открыл сообщение.