Фишинговые атаки LinkedIn, инициированные иранской хакерской группой APT34

Поскольку напряженность в отношениях между Соединенными Штатами и Ираном достигает нового уровня безумия, вполне естественно, что число шпионских операций возрастет. Когда люди представляют себе шпионаж, они, вероятно, представляют голливудские образы тайников и шпионов, спрятанных у всех на виду. Хотя это, вероятно, продолжается, иногда шпионаж гораздо проще. На этот раз он использует социальную инженерию через иранский APT34. Именно на этот момент исследователи FireEye обращают внимание в своем последнем посте в блоге компании. Как сообщается в сообщении, субъекты кибершпионажа APT34 маскируются под членов Кембриджского университета в LinkedIn. Делая это, они надеются завоевать доверие пользователей, достаточно глупых, чтобы «расширить свою сеть» за счет людей, с которыми они никогда раньше не общались. Если эта попытка фишинга LinkedIn приведет к успешному запросу на подключение, APT34 отправит вредоносные документы, которые при загрузке будут выполнять мощную полезную нагрузку. FireEye подробно обсуждает полезные нагрузки (подробнее об этом позже), но главный вывод заключается в том, что APT34 использует три новых семейства вредоносных программ.

Наиболее важные сведения о вредоносном ПО APT34 рассматриваются в следующем отрывке из сообщения в блоге:

TONEDEAF — это бэкдор, который взаимодействует с серверами управления и контроля, используя HTTP или DNS. Поддерживаемые команды включают сбор системной информации, загрузку файлов, загрузку файлов и выполнение произвольных команд оболочки. Хотя этот бэкдор был закодирован так, чтобы иметь возможность обмениваться запросами DNS с жестко запрограммированным сервером управления и контроля, c[.]cdn-edge-akamai[.]com, он не был настроен для использования этой функции… VALUEVAULT — это Golang. скомпилированная версия инструмента для кражи учетных данных браузера «Windows Vault Password Dumper» от Массимилиано Монторо, разработчика Cain & Abel. VALUEVAULT поддерживает ту же функциональность, что и исходный инструмент, позволяя оператору извлекать и просматривать учетные данные, хранящиеся в хранилище Windows. Кроме того, VALUEVAULT вызовет Windows PowerShell для извлечения истории браузера, чтобы сопоставить пароли браузера с посещенными сайтами… FireEye идентифицировал двоичный файл WinNTProgram.exe (MD5:021a0f57fe09116a43c27e5133a57a0a), размещенный на вредоносном домене offlineearthquake[.]com. FireEye идентифицирует это вредоносное ПО как LONGWATCH. Основная функция LONGWATCH — кейлоггер, который записывает нажатия клавиш в файл log.txt во временной папке Windows.

С точки зрения исследователей FireEye, в фишинговых атаках LinkedIn субъекты угрозы APT34, по-видимому, уделяют особое внимание отдельным лицам либо в энергетическом, либо в государственном секторе. Это имеет смысл, поскольку страна, готовящаяся к войне, сможет использовать данные промышленной энергетической инфраструктуры своих врагов для координации атак. Что касается правительственных данных, это должно быть довольно очевидно, но взгляд изнутри на правительство, с которым вы воюете, является жизненно важной разведкой, которую можно использовать в самых разных контекстах.

Конечно, фишинговых атак LinkedIn, как и всех фишинговых атак, легко избежать. Социальные сети — это естественное вторжение в вашу личную жизнь, и я лично ненавижу их как профессионал в области безопасности. Однако, если вы настаиваете на его использовании, связывайтесь только с теми людьми, которых вы знаете. Никогда не принимайте нежелательные сообщения или запросы на подключение, а также реализуйте двухфакторную аутентификацию (предпочтительно аутентификацию с одноразовым паролем, такую как FreeOTP), чтобы добавить уровень безопасности. По крайней мере, используйте проверку SMS 2FA, если используемый вами веб-сайт не поддерживает более сложные и безопасные формы многофакторной аутентификации.

Будем надеяться, что войны между США и Ираном не произойдет, но сейчас ни одно из правительств не заинтересовано в деэскалации. В этом случае приготовьтесь к большему количеству подобной чепухи из APT34 и других источников. Возможно, напряженность спадет, пока не стало слишком поздно.