Иранские хакеры атаковали израильтян, используя редкие киберметоды

Связанная с Ираном хакерская группа, именуемая Educated Manticore, начала проводить кибератаки против израильских целей, используя новую версию вредоносного ПО наряду с другими методами, редко встречающимися. Об этом говорится в новом отчете, опубликованном израильской компанией по кибербезопасности Check Point во вторник, сообщает jpost.

Новая форма атаки была впервые замечена в январе, когда два человека с израильскими IP-адресами отправили вредоносный файл в базу данных VirusTotal, которая отслеживает компьютерные вирусы.

Это файл ISO под названием “Ресурсы развития Ирака”, содержащий большое количество других файлов, включая PDF на арабском, английском и иврите, содержащие академический контент об Ираке. Check Point отметила, что это указывает на то, что целью могли быть ученые-исследователи .

Файл ISO содержит три папки: одна с файлом Jpeg с именем zoom.jpg, другая содержит PDF-файлы и другие связанные файлы, а третья содержит те же зашифрованные файлы. Другой файл с именем “Иракские ресурсы для разработки” имеет символ, указывающий на то, что это папка, но на самом деле это исполняемый файл (.exe), который запускает фактическое вредоносное ПО при нажатии.

После нажатия на файл .exe он расшифровывает и запускает загрузчик из файла zoom.jpg. Файл .exe заполнен ненужным кодом, чтобы обмануть пользователей и антивирусное программное обеспечение. Загрузчик также заполнен ненужным кодом и загружает вредоносное ПО под названием PowerLess, которое служит лазейкой для доступа хакеров к зараженному компьютеру.

Новая версия PowerLess включает двоичный код .NET, который, по-видимому, собран в смешанном режиме (это означает, что он содержит код .NET и C++), что улучшает функциональность инструмента, а также затрудняет его обнаружение.

В то время как версия PowerLess, используемая Phosphorus, могла выполнять команды и загрузки, завершать процессы и красть данные браузера, новая версия также может отображать список файлов и процессов, красть данные из настольного приложения Telegram, делать снимки экрана и записывать звук.
Кроме того, Check Point обнаружил две другие атаки с использованием файлов с именами “iraq-project.rar” и “SignedAgreement.zip”, которые, по-видимому, связаны с атакой с файлом ISO “Ресурсы развития Ирака”. Хотя эти три документа не имеют явного технического совпадения, все они посвящены Ираку и были отправлены на VirusTotal одними и теми же авторами из Израиля. Все атаки также используют одно и то же программное обеспечение с открытым исходным кодом для загрузки программ.

Два дополнительных файла, похоже, являются личными проектами разработчика, стоящего за атакой.