Иранские хакеры снова в игре: как APT35 охотится за аэрокосмосом и полупроводниками

Хакерская группировка APT35, поддерживаемая Ираном и известная своей деятельностью с 2014 года, снова в центре внимания. В этот раз исследователи ThreatBook обнаружили их новые атаки, направленные на аэрокосмическую и полупроводниковую отрасли США, Таиланда, ОАЭ и Израиля. Группа использует поддельные сайты, маскирующиеся под порталы по найму сотрудников или корпоративные ресурсы, чтобы установить вредоносное ПО на компьютеры жертв. Всё как обычно — социальная инженерия и фишинг.

Одной из целей стал эксперт по разработке дронов из Таиланда, на которого APT35 попыталась выйти через фейковый сайт. Вредоносная программа, установленная таким образом, позволила хакерам запускать вредоносные модули и управлять компьютером. Ничего экстраординарного, но этот случай показывает, как злоумышленники могут изощренно маскироваться, вплоть до использования поддельных VPN и легитимных ресурсов, таких как OneDrive и Google Cloud, чтобы обойти систему безопасности.

Интересно, что киберпреступники APT35 не стесняются использовать старые, проверенные трюки. Например, хардкодированные учетные данные и резервные адреса C2-серверов — всё это указывает на то, что подготовка была тщательной. Они используют такие платформы, как GitHub и OneDrive, чтобы максимально затруднить обнаружение их активности. Это не какие-то суперсложные технологии, но явно продуманные шаги, которые показывают: для них важен результат, а не эффектность.

Исследовательская команда ThreatBook уже собрала индикаторы компрометации и рекомендует быть настороже. В этой игре побеждает тот, кто внимательнее. Пока мы видим, что APT35 активно использует простые и эффективные подходы, чтобы получить доступ к важным данным. Остается лишь надеяться, что корпоративная защита и вовремя обнаруженные фишинговые сайты смогут предотвратить дальнейшие атаки.