Индра – Хакеры, стоящие за недавними атаками на Иран

Основные выводы

  • 9 и 10 июля 2021 года Иранские железные дороги и системы Министерства дорог и городского развития стали объектом целевых кибератак. Check Point Research исследовала эти атаки и обнаружила множество доказательств того, что эти атаки в значительной степени зависят от предыдущих знаний злоумышленника и разведки целевых сетей.
  • Было установлено, что нападения на Иран тактически и технически схожи с предыдущими действиями против нескольких частных компаний в Сирии, которые проводились, по крайней мере, с 2019 года. Нам удалось связать эту деятельность с группой угроз, которая идентифицирует себя как оппозиционная группа режима, названная Indra .
  • За эти годы злоумышленники разработали и развернули в сетях жертв по крайней мере 3 различных версии очистителя, получившие название Meteor, Stardust и Comet. Судя по качеству инструментов, их способам работы и их присутствию в социальных сетях, мы считаем маловероятным, что Indra управляется субъектом национального государства.
  • В этой статье подробно описывается технический анализ инструментов, а также TTP, используемых базовым субъектом. Делимся с общедоступными правилами Yara и полным списком индикаторов компрометации.

Ссылка на источник