Иранские хакеры Tortoiseshell атакуют отставных американских военных

Эксперты Cisco Talos обнаружили вредоносный сайт, созданный иранскими хакерами, через который устройства бывших американских военных пытаются заразить малварью.

Ресурс расположен по адресу hiremilitaryheroes[.]com и якобы предлагает работу отставным военным (см. иллюстрацию выше). Для получения доступа к предложениям о работе нужно загрузить специальное десктопное приложение. Оно, разумеется, является фейком и лишь устанавливает на машину малварь, при этом показывая пользователю поддельное сообщение об ошибке при установке.

Проникнув в систему, вредонос собирает информацию о технических характеристиках зараженной машины и передает собранные данные на почтовый ящик Gmail, контролируемый злоумышленниками. Так, малварь собирает информацию об операционной системе, количестве процессоров, конфигурации сети, периферийном оборудовании, версиях прошивок, контроллере домена, имени администратора, списке учетных записей, системных дате и времени, драйверах и так далее. Очевидно, эти данные могут пригодиться злоумышленникам для организации дальнейших атак.

Кроме того, в систему устанавливается троян удаленного доступа, который способен запускать файлы, загруженные извне, выполнять sell-команды и, при необходимости, может удалить себя с компьютера хоста.

Исследователи Cisco Talos пишут, что им неизвестно, какие методы хакеры могли использовать для распространения ссылок на этот сайт, так как эксперты ничего не обнаружили. Предполагается, что ресурс могли обнаружить до того, как злоумышленники начали активно рекламировать его среди военных.

Эксперты связывают эту кампанию с недавно замеченной хак-группой Tortoiseshell, которую, предположительно, направляет иранское правительство. Об этой группе пока известно не так много,  если не считать отчета компании Symantec, опубликованного на прошлой неделе.

По информации Symantec, ранее эта группировка участвовала в атаках на цепочку поставок, нацеленных на 11 ИТ-провайдеров из Саудовской Аравии. Считается, что целью этих атак было использование инфраструктуры скомпрометированных компаний для доставки малвари в сети их клиентов.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.