TTL OSINT

17.09.2024 233 2 мин.

Целенаправленные Атаки Ирана На Правительственную Инфраструктуру Ирака

В статье обсуждается целенаправленная кампания против иракского правительства, которая, по всей видимости, проводится иранским агентом, связанным с APT34. В кампании используется специальный набор инструментов и инфраструктура, а первоначальные заражения часто инициируются с помощью методов социальной инженерии. Вредоносное ПО, Spyware и Beauty, взаимодействуют со своими серверами C2, используя туннелирование DNS и скомпрометированные учетные записи электронной почты, соответственно. Вредоносное ПО Spearal использует пользовательскую схему Base32 для кодирования данных в DNS-запросах, в то время как Beauty использует целевые почтовые ящики для связи C2. Инфраструктура кампании совпадает с предыдущими атаками APT 34, такими как "Каркофф" и "Сайтама", что указывает на аналогичные нападения на правительственные учреждения Ирака. Кроме того, был обнаружен бэкдор модуля IIS, CacheHttp.dll который, вероятно, относится к той же группе из-за его сходства с ранее идентифицированными вредоносными программами IIS Group 2 и GreenBug.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка: https://research.checkpoint.com/2024/iranian-malware-attacks-iraqi-government/

Примеры признаков компромисса:

• 206.206.123.176
• 85f025474271fbcc43af1e2203d10b66
• b5de3c4c582db7c2d2ce31c67cba0510
• 194.68.32.114
• fb164cdf119b0d4427bdcb51b45075b1

Источник: TTL OSINT