Хакерская группировка BackdoorDiplomacy, упомянутая впервые в 2021 году , была замечена в новой волне атак на иранские правительственные учреждения в период с июля по конец декабря 2022 года.
Специалисты из подразделения Unit 42 компании Palo Alto Networks дали группировке своё собственное название «Playful Taurus» (от англ. «игривый телец»). Они заявили, что наблюдали попытки иранских правительственных доменов подключиться к инфраструктуре вредоносного ПО, связанного со злоумышленниками.
Совсем недавно хакеры были замечены в атаке на неназванную телекоммуникационную компанию на Ближнем Востоке. Они воспользовались вредоносом Бэкдор Quarian — это специальная программа, которая используется хакерами для поиска и использования уязвимостей в компьютерных системах.
Quarian может использоваться хакерами для различных целей, но основными являются:
1. Создание ботнета: Хакеры могут использовать Quarian для создания ботнета, чтобы запускать DDoS-атаки или выполнять другие нежелательные действия.
2. Перехват трафика: Хакеры могут использовать Quarian для перехвата и анализа трафика в сети, чтобы находить логины, пароли и другую конфиденциальную информацию.
3. Поиск уязвимостей: Хакеры могут использовать Quarian для поиска уязвимостей в компьютерных системах и сетях, чтобы получить несанкционированный доступ к ним.
» data-html=»true» data-original-title=»Quarian»>Quarian (предшественником Turian), который обеспечивает удаленный доступа к целевым сетям.
Turian «остается в стадии активной разработки, и, по нашим оценкам, он используется исключительно хакерами Playful Taurus», — говорится в отчете Unit 42. Специалисты также отметили, что они наблюдали за четырьмя различными иранскими организациями, включая государственные, которые обращались к известному командно-административному серверу (C2), приписываемому этой группе.
«Ежедневный характер подключений к инфраструктуре предполагает вероятную компрометацию этих сетей», — говорится в сообщении.
Новые версии бэкдора Turian содержат дополнительную обфускацию, а также обновленный алгоритм дешифровки, используемый для извлечения серверов C2. Однако само по себе вредоносное ПО является универсальным, поскольку оно предлагает базовые функции для подключения, выполнения команд и запуска обратных оболочек.
Утверждается, что интерес группировки BackdoorDiplomacy к Ирану имеет геополитические последствия. Ведь все эти атаки происходят на фоне соглашения, подписанного между Китаем и Ираном для развития экономического, военного сотрудничества и сотрудничества в области безопасности.
«Playful Taurus продолжает развивать свою тактику и инструменты. Недавние обновления бэкдора Turian и новой инфраструктуры C2 позволяют предположить, что группировка продолжает добиваться успеха в своих кампаниях кибершпионажа»», — говорят исследователи Unit 42.