Исследователи из Rapid7 выявили, что иранская разведывательная кибергруппа использует маскировку под группировку Chaos для осуществления шпионских операций. Это указывает на новую тактику, направленную на сокрытие явных методов атаки и создание видимости киберугрозы.
Методы и средства атаки
Согласно этим Rapid7, группа начала с фишинга через Microsoft Teams, что подтверждает распространенность этой техники. Участники атаки смогли убедить свои жертвы вводить учетные эти в текстовые файлы и изменять настройки двухфакторной аутентификации, позволяя хакерам легкий доступ к системам.
Атака достигла нового уровня, когда злоумышленники использовали удаленные инструменты, такие как AnyDesk, для дальнейшего контроля. Они обзавелись действительными учетными данными и начали выполнять команды через RDP, загружая вредоносное ПО, включая Darkcomp, для скрытия своих намерений.
Какие выводы можно сделать
Размер угрозы растет: Rapid7 отметила, что несмотря на кажущуюся спонтанность действий, за этим стоит логичная стратегия шпионского воздействия от MuddyWater. Однако иранские группы не только создают иллюзии киберугроз, но и активно используют эти для оперативной работы — например, информируя руководителей о компрометации этих с включением доступа к странице утечки Chaos.
Значение для организаций
Важно, чтобы компании осознавали новые тактики шпионских атак и адаптировали свои меры безопасности. Использование методов маскировки позволяет злоумышленникам действовать незаметно, что может привести к серьезным утечкам данных. Организациям рекомендуется повышать осведомленность сотрудников о фишинге и регулярно проверять системы на наличие уязвимостей.
Следующие шаги будут связаны с усилением защиты и разработкой противодействий киберугрозам. Необходимо активно отслеживать обновления о шпионских атаках, чтобы быть готовыми к возможным угрозам.