Исследователи получили контроль над С&С-инфраструктурой шпионского ПО Infy.
Исследователям компании Palo Alto Networks удалось прервать связанную с кибершпионажем кампанию, проводимую иранскими хакерами и направленную на правительственные и корпоративные сети по всему миру.
В прошлом месяце исследователи сообщили об обнаружении нового семейства вредоносного ПО, использовавшегося с целью шпионажа еще с 2007 года иранской хакерской группировкой. Infy удавалось так долго оставаться в тени, поскольку программа использовалась исключительно в целевых атаках. По данным экспертов, семейство насчитывает свыше сорока вариантов вредоносного ПО.
Infy распространяется через письма с вредоносным вложением, маскирующимся под документ или презентацию. Вредонос способен собирать информацию об инфицированной системе, похищать пароли и другие данные из браузера, а также обладает функцией кейлоггера. Всю похищенную информацию Infy отправляет на подконтрольный злоумышленникам С&С-сервер.
С целью получить контроль над подконтрольными преступникам доменами исследователи связались с организациями, чьи серверы являлись частью их С&С-инфраструктуры.
После публикации отчета Palo Alto Networks злоумышленники перенесли свои домены на другие IP-адреса и выпустили новую версию вредоносного ПО. Тем не менее, используемые ими шифрование и криптографические ключи, позволившие исследователям идентифицировать вредонос, остались прежними. Из этого эксперты сделали вывод, что киберпреступники ничего не знали об их отчете.
Вначале исследователям удалось получить контроль над всеми доменами, за исключением одного. Злоумышленники не сдались и использовали оставшийся домен для продолжения кампании, однако в итоге лишились и его.
Анализ доменов показал 450 образцов вредоносного ПО, установленных на 326 системах в 35 странах, в том числе в США, Канаде, Австралии, Европе и Азии (преимущественно на Среднем Востоке). Большинство жертв являлись гражданами Ирана.
Источник:
https://www.securitylab.ru/news/482979.php