Post #1160

ЭВОЛЮЦИЯ КИБЕРПОДРАЗДЕЛЕНИЙ ИРАНАЧАСТЬ 1 Корпуса стражей исламской революции (далее - КСИР) и Министерства разведки и безопасности (далее - МВБ) кибер-операции представляют собой недорогой и эффективный механизм ответных мер, не выходящий за географические границы. В таких условиях глобальные организации сталкиваются с повышенным киберриском, поскольку традиционное развертывание вредоносного ПО пересекается с новыми методами злоупотребления идентификационными данными. Переход от специально разработанного вредоносного ПО для удаления данных к использованию собственных административных функций устраняет критически важный механизм обнаружения, который исторически защищал корпоративные сети. Нынешняя тактическая перестройка иранских киберподразделений обусловлена не столько отсутствием возможностей для разработки вредоносного ПО, сколько стратегическими преимуществами использования методов, основанных на использовании ресурсов местности (Living-of-the-Land, LotL). В ходе недавних инцидентов с использованием вредоносного ПО типа «вайпер», действующие под псевдонимом Void Manticore (Handala), не применили новый тип вайпера или традиционное скомпилированное вредоносное ПО. Вместо этого они скомпрометировали высокопривилегированные учетные записи, отправив легитимные команды удаленного вайпинга на более чем 200 000 устройств по всему миру. Этот переход от использования пользовательских бинарных файлов к злоупотреблению административными функциями помогает объяснить нынешнюю динамику. В этом контексте все чаще рассматривают корпоративные административные инструменты не только как ИТ-инфраструктуру, но и как активы, которые можно использовать в качестве оружия в рамках более широкой деструктивной структуры. Уже в 2012 и 2016 годах иранские подразделения проводили масштабные операции: THE BLUNT INSTRUMENTS (2016–2019 гг.): В этот период группы Curious Serpens (APT33, Elfin) и Evasive Serpens (APT34, OilRig), атаковали ИТ-инфраструктуру с помощью широко распространенного вредоносного ПО, уничтожающего данные на дисках. - Возрождение Shamoon: После своего первого появления в 2012 году Shamoon 2 и Shamoon 3 были использованы против организаций на Ближнем Востоке. В этих атаках для получения первоначального доступа использовался целевой фишинг, а затем, используя драйвер Eldos RawDisk, удалось обойти API Windows и перезаписать главную загрузочную запись (MBR). - ZeroCleare и Dustman: Широко используемые против энергетического и промышленного секторов, стеклоочистители, такие как Zerocleare и его преемник Dustman, повторяют стратегию Shamoon, основанную на использовании модифицированных легальных водителей для достижения разрушительных результатов. AGONIZING SERPENS (2020–2022 гг.): - Пакет вредоносных программ Agonizing Serpens (Apostle и Fantasy): Вместо традиционного целевого фишинга, Agonizing Serpens часто использовал общедоступные однодневные уязвимости в веб-приложениях, доступных извне, для внедрения собственных веб-оболочек. После получения первоначального доступа группа развертывала полезные нагрузки, разработанные для того, чтобы размыть границы между шпионажем и вымогательством. - Эволюция Apostle: Первоначально Apostle воспринимался как программа-вымогатель, замаскированная под вредоносное ПО, и его ранние версии не обладали возможностью расшифровки файлов, что указывало на то, что основной целью было уничтожение данных. Однако более поздние варианты были модифицированы и стали функционировать как легитимные программы реагирование на инцидент, заставляя специалистов по киберпреступлениям рассматривать это событие как стандартное киберпреступление. - Использование уязвимостей в цепочке поставок: внедрение Fantasy wiper представляло собой значительную эскалацию в методологии атак Agrius.