Иранский APT34 поразил ОАЭ атакой на цепочку поставок

Связанная с Ираном продвинутая постоянная угроза, известная как APT34, снова в деле, на этот раз организовав атаку на цепочку поставок с конечной целью получить доступ к правительственным объектам на территории Объединенных Арабских Эмиратов (ОАЭ).

Махер Ямут, ведущий исследователь безопасности Исследовательского центра EEMEA компании «Лаборатория Касперского», говорит, что злоумышленники использовали вредоносную форму найма ИТ-работников в качестве приманки. APT34 (также известный как OilRig) создал поддельный веб-сайт, маскируясь под ИТ-компанию в ОАЭ, отправил форму набора целевой ИТ-компании, а когда жертва открыла вредоносный документ, чтобы предположительно подать заявку на рекламируемую ИТ-работу, вредоносное ПО для кражи информации казнён.

Ямут говорит, что вредоносная программа собрала конфиденциальную информацию и учетные данные, которые позволили APT34 получить доступ к сетям клиентов ИТ-компании. Он объясняет, что злоумышленник затем специально нацелился на правительственных клиентов, используя инфраструктуру электронной почты ИТ-группы жертвы для командно-контрольной связи (C2) и кражи данных. «Лаборатория Касперского» не смогла проверить, были ли правительственные атаки успешными из-за ограниченной видимости дальнейших действий, но «мы оцениваем их со средней и высокой степенью достоверности», говорит Ямут, учитывая типичный уровень успеха группировки.

Согласно исследованию Касперского, образцы вредоносного ПО, использованные в кампании в ОАЭ, напоминали те, которые использовались в предыдущем вторжении APT34 в цепочку поставок в Иордании, в котором использовались аналогичные тактики, методы и процедуры (TTP), в том числе нацеленные на государственные учреждения. В этом случае Ямут говорит, что он подозревал, что LinkedIn использовался для доставки формы вакансии, одновременно выдавая себя за усилия ИТ-компании по набору персонала.

Гамбит вербовщика — это тактика, которая на протяжении многих лет использовалась многочисленными организациями, занимающимися кибератаками, в том числе не раз северокорейской группой «Лазарь», а также киберзлоумышленниками, выдающими себя за военных вербовщиков.

APT34 — это иранская группа угроз, действующая в основном на Ближнем Востоке и нацеленная на организации в этом регионе, работающие в самых разных отраслях. Ранее его связывали с другими видами кибернаблюдения, такими как атака на ОАЭ в начале этого года.

Он часто осуществляет атаки на цепочки поставок, когда группа угроз использует доверительные отношения между организациями для атаки на свои основные цели, систематически нацеливаясь на конкретные организации, которые, по-видимому, тщательно выбираются для стратегических целей.

Согласно исследованию Mandiant, APT34 работает как минимум с 2014 года, использует сочетание общедоступных и закрытых инструментов, часто проводит целевые фишинговые операции с использованием скомпрометированных учетных записей, иногда в сочетании с тактикой социальной инженерии.

«Мы оцениваем, что APT34 работает от имени иранского правительства, основываясь на деталях инфраструктуры, содержащих ссылки на Иран, использовании иранской инфраструктуры и нацеливании, которое соответствует интересам национального государства», — отметила Mandiant в своем отчете. Эту оценку разделяет правительство США, которое в прошлом году ввело санкции против Ирана из-за деятельности APT34.