Специалисты из FireEye подробно рассказали об активности кибершпионской группировки из Ирана APT33, от действий которой пострадали американские и саудовские авиакомпании, а также одна из южнокорейских корпораций. Хакеры проявляют интерес, прежде всего, к аэрокосмическим и энергетическим промышленным предприятиям, а также к военным объектам.
Хакеры из APT33 действуют с 2013 года. Кибергруппировка осуществляет рассылку фишинговых писем. Обычно в письмах, замаскированных под объявления о работе, присутствует вредоносная ссылка. Если пользователь переходит по ней, то запускается процесс установки вредоносной программы на компьютер. Злоумышленники активно проводили фишинговые кампании на протяжении всего прошлого года.
Специалисты утверждают, что в APT33 действуют хакеры высокого уровня, которые даже зарегистрировали домены подставных фирм для создания видимости законной деятельности. Проведя анализ активности APT33 за последнее время, эксперты сделали вывод, что киберпреступники могут заниматься подготовкой более масштабных атак.
Исследователи выяснили, что APT33 пользуется утилитой собственной разработки DropShot для того, чтобы устанавливать на целевых устройствах вредоносную программу ShapeShift. Это модифицированный вариант программы Shamoon, которая в этом году атаковала саудовские нефтедобывающие компании.
По словам аналитика компании Dragos Джо Словика, кибергруппировка, помимо организаций, расположенных в ближневосточном регионе, начала атаковать британские, израильские, пакистанские и южнокорейские компании. В течение четырех последних месяцев хакеры стали интересоваться большим количеством государственных структур.
