Jump to content

Иранские хакеры атаковали аэрокосмические и телеком компании


Recommended Posts

Специалисты в области кибербезопасности из Cybereason Nocturnus сообщили о вредоносной кампании по кибершпионажу, действующей как минимум с 2018 года. Преступники в ходе кампании использовали вредоносное ПО ShellClient, представляющее собой троян для удаленного доступа (RAT).

Исследователи связали ShellClient с киберпреступной группировкой, получившей название MalKamak, которая использовала вредоносное ПО для разведывательных операций и кражи конфиденциальных данных у целей на Ближнем Востоке, в США, России и Европе.

ShellClient RAT появился в поле зрения ИБ-экспертов в июле во время анализа операции по кибершпионажу под названием Operation GhostShell. По словам экспертов, вредонос запускается на зараженных устройствах под видом легитимного процесса RuntimeBroker.exe, который помогает управлять разрешениями для приложений из Microsoft Store. 

Вариант ShellClient, используемый для операции Operation GhostShell, показывает дату компиляции 22 мая 2021 года и имеет версию 4.0.1. Исследователи обнаружили, модификация вредоноса началась по крайней мере с ноября 2018 года «от простой автономной обратной оболочки до скрытого модульного инструмента для шпионажа». 

С каждой из шести обнаруженных итераций разработчики вредоносной программы увеличивали ее функциональность и переключались между несколькими протоколами и методами кражи данных (например, FTP-клиент, учетная запись Dropbox).

Эксперты пришли к выводу, что вредоносная программа управляется предположительно иранской группировкой, на что указывает совпадение стилей кода, именование условности и методы с другими иранскими группировками, в частности Chafer (APT39) и Agrius.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...