Исследователи обнаружили новую активность со стороны киберпреступной группы, известной как Prince of Persia, которая, как полагают, связана с правительством Ирана. Группа, по всей видимости, прекратила свою деятельность в 2022 году после того, как несколько компаний по кибербезопасности задокументировали её операции и вывели из строя инфраструктуру управления и контроля. Однако новые данные свидетельствуют о том, что злоумышленники перегруппировались и продолжили атаковать новых жертв, оставаясь незамеченными.
Prince of Persia, также известная как Infy (по названию своего первоначального вредоносного ПО), действует уже почти 20 лет. Исследователи отмечают вероятные связи с Ираном, основываясь на выборе целей группы и других факторах. Ранее жертвами были идентифицированы в 35 странах, включая иранских диссидентов и государственные объекты в Европе и других регионах.
Первой компанией, подробно задокументировавшей атаки группы и её инструментарий вредоносного ПО, стала Palo Alto Networks в 2016 году. В том же году компания провела успешную операцию по нейтрализации, в рамках которой было осуществлено перенаправление серверов управления и контроля группы. Однако через год группа вернулась с новыми вариантами вредоносного ПО под названиями Foudre и Tonnerre — «молния» и «гром» по-французски.
«Несмотря на то, что в 2022 году группа, казалось бы, ушла в тень, злоумышленники Prince of Persia сделали всё наоборот», — говорится в новом отчёте исследователей из компании SafeBreach. «Наша текущая исследовательская кампания, посвящённая этой плодовитой и неуловимой группе, выявила критически важные детали об их деятельности, серверах C2 и идентифицированных вариантах вредоносного ПО за последние три года. Эта группа угроз остаётся активной, актуальной и опасной».
Изменения в доставке вредоносного ПО и инфраструктуре C2
Когда группа исчезла из поля зрения в 2022 году, последней известной версией Foudre была v27, а Tonnerre — v15. Сегодня самые последние версии, обнаруженные исследователями, — это Foudre v34 и Tonnerre v17, обе из которых включают существенные изменения.
Foudre — это вредоносное ПО первой ступени, используемое для разведки и идентификации жертв. Если цель считается достаточно важной, развёртывается троян Tonnerre для сбора данных и наблюдения.
Ранее Foudre распространялось через вредоносные макросы, встроенные в документы Microsoft Office, отправляемые в виде вложений в фишинговых письмах на темы, представляющие интерес для их целей. Последняя версия доставляется в виде файла Excel со встроенным вредоносным исполняемым файлом, который не обнаруживается ни одним антивирусным движком на VirusTotal.
Встроенный исполняемый файл представляет собой самораспаковывающийся архив (SFX), содержащий вредоносную DLL и файл-обманку в формате MP4. Файлы Excel с вредоносными макросами продолжают использоваться, и они пытаются выполнить файл под названием ccupdate.tmp.
Одно из главных отличий от предыдущих версий — переход на новый алгоритм генерации доменов (DGA), с помощью которого вредоносное ПО определяет, на каких доменных именах будет найден сервер управления и контроля. Tonnerre v17 использует тот же DGA с другим префиксом ключа, что означает, что домены, которые он будет генерировать для C2, будут отличаться.
Исследователям SafeBreach удалось идентифицировать множество серверов C2 и извлечь из них данные. Некоторые серверы использовались для тестирования, в то время как другие содержали данные, собранные с реальных жертв.
«Большинство жертв находились в Иране, но были и в Европе, а также в таких странах, как Ирак, Турция, Индия и Канада», — сообщили исследователи. «Хотя мы решили не публиковать данные здесь из соображений конфиденциальности, мы готовы поделиться ими с уполномоченными правоохранительными органами».
Мониторинг кампаний группы затруднён, поскольку злоумышленники часто меняют серверы C2 и отдают команды на удаление вредоносного ПО из систем жертв, которые больше не представляют интереса.
Переход на Telegram
Совсем недавно исследователи идентифицировали новый вариант Tonnerre, обозначенный как v50, а также неизвестную новую версию Foudre, которая работает с ним. Эти версии используют новую структуру сервера C2 и, что наиболее важно, могут загружать файл с сервера, который обеспечивает связь через Telegram с использованием его API.
Функция Telegram активируется только для ограниченного числа жертв, но исследователям удалось использовать API для запроса настроенного канала Telegram. В нём было два участника: один — бот канала, а другой — пользователь по имени Ehsan, написанный на фарси. Он может быть одним из хакеров, ответственных за управление вредоносным ПО, и последний раз был активен 13 декабря.
«Ehsan — распространённое персидское имя, типичное для иранца», — заявили исследователи. «Эта атрибуция весьма убедительна в сочетании с IP-адресом тестовой машины злоумышленника. Мы отслеживали используемые IP-адреса в течение нескольких лет, и все они указывали на Иран как на местоположение. Хотя разные базы данных IP-адресов предоставляли разные города, все они находились в Иране».
Исследователи также обнаружили другие образцы вредоносного ПО и полезных нагрузок, использовавшихся в кампаниях до 2022 года, включая признаки дополнительного семейства вредоносного ПО под названием Rugissement («рык» по-французски), более новую версию MaxPinner — трояна на базе Telegram, использовавшегося группой в 2021 году, а также различные троянизированные бинарные файлы, использовавшиеся для распространения вредоносного ПО.
Отчёт включает подробности о новых алгоритмах DGA, а также индикаторы компрометации и хэши образцов в надежде, что это поможет другим компаниям и исследователям отслеживать деятельность неуловимой группы в будущем.
Автор – Lucian Constantin
