Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Иранската APT група Infy повторно се појавува со нови малициозни активности по години тишина

Објавено: 22.12.2025

Истражувачите за закани открија нова активност поврзана со иранскиот заканувач познат како Infy (познат и како Prince of Persia), речиси пет години откако хакерската група беше забележана како таргетира жртви во Шведска, Холандија и Турција.

„Обемот на активностите на Prince of Persia е позначаен отколку што првично очекувавме“, изјави Томер Бар, потпретседател за безбедносни истражувања во SafeBreach, во техничка анализа споделена со The Hacker News. „Оваа заканувачка група сè уште е активна, релевантна и опасна.“

Infy е еден од најстарите advanced persistent threat (APT) актери, со докази за рана активност што датира уште од декември 2004 година, според извештај објавен од Palo Alto Networks Unit 42 во мај 2016 година, чиј коавтор е и Бар, заедно со истражувачот Сајмон Конант.

Групата успеала да остане релативно скриена и да привлече малку внимание, за разлика од други ирански хакерски групи како Charming Kitten, MuddyWater и OilRig. Нападите што ги спроведува групата во голема мера се потпираат на два вида малициозен софтвер: downloader и профајлер на жртви наречен Foudre, кој испорачува второстепен имплант наречен Tonnerre, наменет за извлекување податоци од машини со висока вредност. Се проценува дека Foudre се дистрибуира преку фишинг е-пораки.

Најновите наоди на SafeBreach открија прикриена кампања која таргетирала жртви во Иран, Ирак, Турција, Индија и Канада, како и низ Европа, користејќи ажурирани верзии на Foudre (верзија 34) и Tonnerre (верзии 12–18 и 50). Најновата верзија на Tonnerre е детектирана во септември 2025 година.

Синџирите на напад исто така покажуваат промена од Microsoft Excel фајлови со вградени макроа кон вметнување извршна датотека во такви документи за инсталација на Foudre. Можеби најзабележителниот аспект од начинот на работа на оваа заканувачка група е употребата на алгоритам за генерирање домени (DGA), со цел нивната командно-контролна (C2) инфраструктура да биде поотпорна.

Дополнително, артефактите на Foudre и Tonnerre се познати по тоа што проверуваат дали C2 доменот е автентичен преку преземање RSA потписна датотека, која малициозниот софтвер потоа ја дешифрира со јавен клуч и ја споредува со локално зачувана датотека за валидација.

Анализата на SafeBreach на C2 инфраструктурата откри и директориум со име „key“, кој се користи за C2 валидација, како и други папки за складирање комуникациски логови и ексфилтрирани датотеки.

„Секој ден, Foudre презема наменска потписна датотека шифрирана со RSA приватен клуч од страна на заканувачот, а потоа користи RSA верификација со вграден јавен клуч за да провери дали доменот е одобрен“, изјави Бар. „Форматот на барањето е: https://<име на домен>/key/<име на домен><yy><ден од годината>.sig.“

На C2 серверот постои и директориум „download“, чија моментална намена е непозната. Се претпоставува дека се користи за преземање и надградба на нова верзија.

Најновата верзија на Tonnerre, од друга страна, вклучува механизам за контакт со Telegram група (наречена „سرافراز“, што на персиски значи „гордо“) преку C2 серверот. Групата има два члена: Telegram бот @ttestro1bot, кој најверојатно се користи за издавање команди и прибирање податоци, и корисник со прекар @ehsan8999100.

Иако користењето на апликации за размена на пораки како C2 не е невообичаено, интересно е што информациите за Telegram групата се зачувани во датотека со име „tga.adr“ во директориум наречен „t“ на C2 серверот. Вреди да се напомене дека преземањето на датотеката „tga.adr“ може да се активира само за специфична листа на GUID-и на жртвите.

Сајбер-безбедносната компанија откри и други постари варијанти користени во Foudre кампањите меѓу 2017 и 2020 година:

  • Верзија на Foudre маскирана како Amaq News Finder за преземање и извршување на малициозниот софтвер
  • Нова верзија на тројанец наречен MaxPinner, кој се презема од Foudre верзија 24 DLL за шпионирање на Telegram содржини
  • Варијација на малициозен софтвер наречена Deep Freeze, слична на Amaq News Finder, користена за заразување жртви со Foudre
  • Непознат малициозен софтвер наречен Rugissement

„И покрај тоа што во 2022 година изгледаше дека исчезнаа, заканувачите од Prince of Persia направија токму спротивното“, соопшти SafeBreach. „Нашата тековна истражувачка кампања за оваа продуктивна и тешко уловлива група истакна клучни детали за нивните активности, C2 сервери и идентификувани малициозни варијанти во последните три години.“

Објавата доаѓа во време кога континуираната анализа на DomainTools за протечените податоци од Charming Kitten прикажа слика за хакерска група која функционира повеќе како државен оддел, спроведувајќи „шпионски операции со административна прецизност“. Исто така, заканувачот е разоткриен како стои зад персонажата Moses Staff.

„APT 35, истата административна машина што ги води долгорочните операции за фишинг на акредитиви на Техеран, исто така ја управувала логистиката што го напојувала ransomware-театарот на Moses Staff“, соопшти компанијата.

„Наводните хактивисти и државната сајбер-единица не само што делат алатки и цели, туку и ист систем за плаќања. Пропагандниот и шпионскиот дел се два производи на ист работен процес – различни ‘проекти’ во рамките на истиот внатрешен систем за управување со задачи.“

Извори:

  • The Hacker News – Iranian Infy APT Resurfaces with New Malware Activity After Years of Silence The Hacker News