Raport FireEye: nowa „akcja” APT33

Atak ukierunkowany na firmy zajmujące się kosmonautyką, petrochemią i energetyką w USA, Arabii Saudyjskiej i Korei Południowej był przeprowadzony najprawdopodobniej przez irańską grupę APT33. Atak przeprowadzono z użyciem droppera , powiązanego z wiperem StoneDrill wynika z raportu FireEye.

Złośliwe oprogramowanie dystrybuowano za pośrednictwem kampanii phishingowych związanych z wolnymi miejscami pracy w Arabii Saudyjskiej i krajach Zachodnich. Oprócz rzeczywistych ogłoszeń z portali rekrutacyjnych e-maile zawierały linki do złośliwych aplikacji HTML (.hta).

Wiadomości zostały dopasowane do profili zawodowych potencjalnych ofiar. Niestety, plik .hta zawierał również wbudowany kod, który automatycznie pobierał specjalnie spreparowanego przez APT33 backdoora.

Linki w e-mailach wykorzystywały fałszywe domeny podszywające się pod takie firmy, jak Boeing, Alsalam Aircraft Company, Northrop Grumman Aviation Arabia and Vinnell Arabia. Te osoby, które je kliknęły pobierały DropShot.

Badacze z FireEye podają, że APT33 działa od 2013 roku z ramienia rządu irańskiego prowadząc wiele aktywnych działań szpiegowskich w cyberprzestrzeni.

W maju 2017 roku podjęło próbę ataku na firmy z Arabii Saudyjskiej i Korei Południowej stosując podobną metodę zachęcenia do przejrzenia ogłoszeń o pracę w firmie z branży petrochemicznej.

Zdaniem badaczy FireEye celem ataków jest zwiększenie irańskich kompetencji w obszarze lotnictwa, zbieranie informacji wojskowych powiązanych z Arabią Saudyjską oraz wsparcie irańskich firm petrochemicznych dla zdobycia przewagi konkurencyjnej nad saudyjskimi odpowiednikami.

Prawdopodobnie złośliwe oprogramowanie powiązane jest z hakerem ukrywającym się pod Nickiem „xman_1365_x”. Badacze przypuszczają, że był on zaangażowany w rozwój i wykorzystanie backdoorów TurnedUp, autorstwa APT33.

Badacze doszli do tego wniosku, ponieważ Xman_1365_x pojawił się w tzw. processing-debugging paths (PDB) wielu z próbek backdora TurnedUp, zebranych przez zespół FireEye. Uważa się również, że Xman_1365_x był managrem społeczności na irańskim forum programistycznym i inżynierii oprogramowania Barnamenevis i rejestrował konta na popularnych irańskich forach Shabgard i Ashiyane.

Źródło: www.FireEye.com