Дослідники безпеки виявили нову аферу, пов’язану з групою Phosphorus APT. Ця група хакерів має широкий спектр навичок, від програм-вимагачів до цілеспрямованого фішингу проти високопоставлених осіб.
Check Point Research (CPR) повідомляє, що вони на слідах нової хакерської кампанії. Цей кластер діяльності отримав назву «Освічена Мантикора» на честь істоти мантикори з перської міфології, за допомогою якої дослідники безпеки хочуть зрозуміти з назви, яка нація, на їхню думку, стоїть за кампанією.
Державні хакерські групи з Ірану
Сергій Шикевич, менеджер групи із захисту від загроз у Check Point Software Technologies, коментує: «У нашому дослідженні ми проливаємо світло на поточний розвиток можливостей іранських державних хакерських груп. Подібно до звичайних кіберзлочинців, які адаптують свої ланцюги зараження до мінливого ІТ-середовища, хакери національних держав тепер також використовують файли ISO, щоб обійти нові заходи проти заражених файлів Office, які були популярні досі. Однак інструменти цього гравця також покращилися, що вказує на продовження інвестицій Ірану в розширення його державних ІТ-можливостей».
Phosphorus — сумнозвісна група APT (Advanced Persistent Threat), яка діє з Ірану, головним чином у Північній Америці та арабському світі та проти них. Нова група, яка, здається, пов’язана з Phosphorus, використовує методи, які рідко зустрічаються, включаючи двійкові файли .NET, побудовані в коді змішаного режиму складання. Нова кампанія в основному полягає у фішингу проти іракців та ізраїльтян з використанням файлу образу ISO, оскільки компанії та державні установи нещодавно встановили багато засобів захисту від заражених файлів Office, таких як нібито документи Word або Excel. У файлі ISO документи зберігалися арабською та івритом.
Початок ланцюжка інфекції
Дослідники безпеки в Check Point підозрюють, що цей метод призначений лише для того, щоб діяти як початок ланцюжка зараження, щоб відкрити шлюз для зловмисного програмного забезпечення або програм-вимагачів, тому що: Варіант у файлах ISO є оновленням старішого шкідливого програмного забезпечення, і обидва можуть бути пов’язано з програмою-вимагачем -Operations of Phosphorus together. З цієї причини експерти радять усім особам, які приймають рішення в ІТ, регулярно встановлювати виправлення та оновлення для своїх продуктів і програм безпеки, фундаментально навчати співробітників (включаючи керівництво) ІТ-безпеці від загроз і застосовувати консолідований підхід під час придбання рішень ІТ-безпеки, щоб віддайте перевагу замість того, щоб купувати безліч різних окремих рішень, які погано працюють разом і, таким чином, залишають прогалини в захисті.
Автоматичне виявлення загроз і реагування на них стали важливими, а також автоматичний моніторинг електронної пошти (особливо вкладених файлів) і відповіді на електронні листи. Це також стосується файлів та їх діяльності на комп’ютерах у мережі. Прив’язка до хмари аналізу загроз також надзвичайно допомагає, оскільки вона надає дані про загрози в реальному часі та дані реагування з усього світу на рішення безпеки, яке контролюється централізовано.
Більше на Checkpoint.com
Про КПП Check Point Software Technologies GmbH (www.checkpoint.com/de) є провідним постачальником рішень кібербезпеки для державних адміністрацій і компаній у всьому світі. Рішення захищають клієнтів від кібератак за допомогою найкращого в галузі рівня виявлення шкідливих програм, програм-вимагачів та інших типів атак. Check Point пропонує багаторівневу архітектуру безпеки, яка захищає корпоративну інформацію в хмарі, мережі та на мобільних пристроях, а також найповнішу та інтуїтивно зрозумілу систему керування безпекою «одна точка контролю». Check Point захищає понад 100.000 XNUMX компаній різного розміру.