Jump to content

Иранские хакеры атаковали азиатскую авиакомпанию


security147

Recommended Posts

Иранские хакеры атаковали азиатскую авиакомпанию

15:28 / 17 Декабря, 2021 2021-12-17T16:28:30+03:00

Alexander Antipov

MuddyWater удалось взломать сеть неназванной авиакомпании в октябре 2019 года, и в 2021 году группировка все еще имела к ней доступ.

https://www.securitylab.ru/upload/iblock/da5/da525d495766d92d35a901dbce446eb7.jpg

Связанная с правительством Ирана APT-группировка MuddyWater развернула бэкдор, использующий для C&C мессенджер Slack, в сети одной из азиатских авиакомпаний, сообщают эксперты IBM X-Force.

APT-группировка, также известная как MERCURY, Seedworm, Static Kitten и ITG17, в основном атакует цели в странах Среднего Востока и Азии. По данным IBM X-Force, MuddyWater удалось скомпрометировать сеть неназванной азиатской авиакомпании в октябре 2019 года, и в 2021 году группировка все еще имела к ней доступ.

Злоумышленники развернули PowerShell-бэкдор под названием Aclip, использующий API мессенджера Slack для C&C-операций, в частности для связи и передачи данных. Поскольку в большинстве случаев к одной и той же атакуемой среде получают доступ сразу множество иранских хакерских группировок, не исключено, что в операцию были вовлечены и другие киберпреступники. Тем более что иранские правительственные хакеры атакуют авиапромышленность (в основном с целью шпионажа) уже как минимум полдесятилетия.

В описанном экспертами IBM X-Force инциденте с помощью ключа Windows Registry Run злоумышленники постоянно выполняли batch-скрипт, который в свою очередь с помощью PowerShell запускал бэкдор Aclip. Вредоносное ПО, получающее команды через Slack-каналы, может делать скриншоты, собирать системную информацию и извлекать файлы.

Использование Slack позволяет злоумышленникам смешивать вредоносный трафик с обычным сетевым трафиком. Другие семейства вредоносного ПО используют приложение с этой же целью.

Узнав о случившемся, Slack инициировал расследование и отключил вредоносные рабочие пространства.

Учитывая использовавшиеся в атаке кастомные инструменты, тактики, техники и процедуры (TTP) и инфраструктуру, эксперты уверены, что за ней стоит группировка MuddyWater.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...