Irański Chafer APT atakuje Transport Lotniczy i rząd na Kuwejt i Arabię Saudyjską

Naukowcy odkryli kampanię cyberprzestępczą od grupy hakerów, CHAFER APT, najwyraźniej łączy się z rządem Iranu i odkryli kilka ofiar transportu lotniczego i rządowych z nadzieją na rozprzestrzenianie tylnych drzwi i eksfiltrację danych.

Ta grupa działa od 2014 roku i wcześniej rozpoczęła operacje gromadzenia informacji na Bliskim Wschodzie. Ataki rozpoczęły się w 2018 r. I trwały w 2019 r., Atakując kilka firm, takich jak telekomunikacja, branża turystyczna itp. Z siedzibą w Kuwejcie i Arabii Saudyjskiej.

Kampanie opierały się na kilku narzędziach, w tym narzędziach „życia poza ziemią”, które utrudniają przypisywanie, a także różnych narzędziach do hakowania i niestandardowych backdoorach.

Najważniejsze ustalenia z analizy

  • Transport lotniczy i rząd były głównymi celami
  • Aktywność atakujących miała miejsce w weekendy
  • Stwierdzono, że podczas ataku w Kuwejcie zostało utworzone konto użytkownika od podmiotów grożących
  • Atak Arabii Saudyjskiej polegał na inżynierii społecznej w celu oszukania użytkowników
  • Obaj atakujący skupili się na wykorzystaniu danych i eksfiltracji

Typowe cele odnotowane w atakach cybernetycznych

Grupa irańska jest znana z prowadzenia kampanii skierowanych do celów politycznych i innych sektorów, z których cenne dane mogą zostać odfiltrowane. Używają różnych zwodniczych technik, w tym strzyżenia wiadomości e-mail ze złośliwymi plikami lub linkami oraz innych backdoorów w celu uzyskania dostępu do docelowego urządzenia. Następnie mogą łatwo podnieść uprawnienia i inne działania, aby zapewnić całkowite utrzymanie w sieci.

Jeszcze wcześniej grupa ta atakowała Bliski Wschód. Jednak dzięki tym atakom hakerzy próbowali nowego sposobu na skompromitowanie sieci. Podczas ataku w Kuwejcie utworzyli konto użytkownika na urządzeniu i prowadzą różne działania, takie jak sieć, skanowanie, kradzież danych uwierzytelniających i tak dalej. W tym celu używają dwóch narzędzi Mimikatz i CrackMapExec. W ataku na Arabię ​​Saudyjską hakerzy nakłonili ludzi do zainstalowania i uruchomienia narzędzia do zdalnej administracji.

Chociaż te dwa są najnowszymi przykładami ataków na Bliskim Wschodzie, ważne jest, aby zrozumieć, że tego typu ataki mogą mieć miejsce w dowolnym miejscu na świecie, a infrastruktura krytyczna, taka jak administracja rządowa i transport lotniczy, pozostają bardzo wrażliwymi celami.