Иранская группа, известная как APT33, подозревается в кибершпионаже, нацеленном на компании, работающие в области авиакосмоса, нефтехимии и энергетики и расположенные в США, Саудовской Аравии и Южной Корее.

В последней атаке группы использовался дроппер DropShot, который шел в  связке с вредоносной программой StoneDrill — вариантом небезызвестного Shamoon 2, говорится в отчете, опубликованном в среду компанией FireEye.

По словам исследователей, вредоносное ПО распространяется с помощью целевого фишинга, где предлагается реклама работы в авиационных компаниях Саудовской Аравии и западных организациях. Электронные сообщения содержат привлекательную информацию о вакансиях со ссылками на вредоносные файлы HTML-приложения (.hta).

«Файлы .hta содержат описания должностей и ссылки на вполне легальные объявления о приеме на работу на популярных рекрутинговых ресурсах, которые могут заинтересовать тех, кому адресованы письма, — говорят исследователи. — Но пользователи не знают, что файл .hta также содержит встроенный код, который автоматически загружает специально написанный бэкдор APT33 — TurnedUp».

В ссылках в электронных письмах использовались поддельные домены таких фирм, как Boeing, Alsalam Aircraft Company, Northrop Grumman Aviation Arabia и Vinnell Arabia. Многие жертвы, которые перешли по ссылке, по неосторожности скачали DropShot.

В марте «Лаборатория Касперского» опубликовала отчет о том, что StoneDrill был похож на модификацию Shamoon, от которого в 2012 году пострадали компании Saudi Aramco и Rasgas. Зловред также использовался против организаций в Саудовской Аравии и был найден в инфраструктуре нефтехимических организаций Европы.

«У StoneDrill есть несколько общих черт с Shamoon, в том числе целый ряд интересных нюансов и техник, которые позволяют избежать обнаружения», — писали специалисты «Лаборатории Касперского» в отчете «От Shamoon к Stonedrill» (PDF).

Исследователи из «Лаборатории Касперского» также нашли у StoneDrill сходство с APT-группой, известной как News Beef или Charming Kitten, а именно использование Browser Exploitation Framework, сокращенно BEeF. Но специалисты «Лаборатории Касперского» и FireEye не знают, стоят ли за Shamoon и StoneDrill одни и те же группы или у атакующих просто одинаковые интересы в определенном кругу регионов.

По словам экспертов, APT33 с 2013 года занимается различными видами кибершпионажа для иранского правительства.

«Совсем недавно, в мае 2017-го, APT33 атаковала организацию из Саудовской Аравии и корпорацию из Южной Кореи с помощью вредоносного файла: жертву пытались завлечь вакансиями в нефтехимической компании из Саудовской Аравии», — писали исследователи из FireEye.

Эксперты считают, что такие атаки направлены на то, чтобы активизировать авиационную промышленность Ирана, получить разведданные из Саудовской Аравии и предоставить иранским нефтехимическим компаниям конкурентное преимущество перед фирмами из других государств.

«Мы выяснили, что за вредоносной программой APT33 стоит человек, которого, вероятно, наняло иранское правительство для проведения кибератак против конкурирующих стран, — говорят специалисты FireEye. — Мы считаем, что в разработке и потенциальном использовании бэкдора TurnedUp от APT33 мог участвовать некто, использующий ник «xman_1365_x»».

Исследователи пришли к такому выводу, поскольку ник Xman_1365_x появлялся в путях отладки многих собранных образцов бэкдора TurnedUp. Также они считают, что Xman_1365_x был руководителем иранского форума по программированию и разработке программного обеспечения Barnamenevis и регистрировал учетные записи на широко известных иранских форумах Shabgard и Ashiyane.

Категории: Главное, Хакеры