📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os caçadores de ameaças identificaram novas atividades associadas a um ator de ameaça iraniano conhecido como Infy (também conhecido como Príncipe da Pérsia), quase cinco anos depois que o grupo de hackers foi observado visando vítimas na Suécia, na Holanda e na Turquia.
“A escala da atividade do Prince of Persia é mais significativa do que previmos originalmente”, disse Tomer Bar, vice-presidente de pesquisa de segurança da SafeBreach, em um detalhamento técnico compartilhado com o The Hacker News. “Este grupo de ameaças ainda está ativo, relevante e perigoso.”
Infy é um dos mais antigos atores de ameaças persistentes avançadas (APT) existentes, com evidências de atividades iniciais que remontam a dezembro de 2004, de acordo com um relatório divulgado pela Palo Alto Networks Unit 42 em maio de 2016, também de autoria de Bar, juntamente com o pesquisador Simon Conant.
O grupo também conseguiu permanecer evasivo, atraindo pouca atenção, ao contrário de outros grupos iranianos, como Charming Kitten, MuddyWater e OilRig. Os ataques montados pelo grupo aproveitaram de forma proeminente duas variedades de malware: um downloader e um criador de perfis de vítimas chamado Foudre, que fornece um implante de segundo estágio chamado Tonnerre para extrair dados de máquinas de alto valor. Avalia-se que o Foudre é distribuído por meio de e-mails de phishing.
As últimas descobertas do SafeBreach revelaram uma campanha secreta que tem como alvo vítimas no Irão, Iraque, Turquia, Índia e Canadá, bem como na Europa, utilizando versões atualizadas do Foudre (versão 34) e Tonnerre (versões 12-18, 50). A versão mais recente do Tonnerre foi detectada em setembro de 2025.
As cadeias de ataque também testemunharam uma mudança de um arquivo Microsoft Excel com macros para a incorporação de um executável nesses documentos para instalar o Foudre. Talvez o aspecto mais notável do modus operandi do agente da ameaça seja o uso de um algoritmo de geração de domínio (DGA) para tornar sua infraestrutura de comando e controle (C2) mais resiliente.
Além disso, sabe-se que os artefatos Foudre e Tonnerre validam se o domínio C2 é autêntico baixando um arquivo de assinatura RSA, que o malware então descriptografa usando uma chave pública e compara com um arquivo de validação armazenado localmente.
A análise da infraestrutura C2 do SafeBreach também descobriu um diretório chamado “chave” que é usado para validação C2, junto com outras pastas para armazenar logs de comunicação e arquivos exfiltrados.
“Todos os dias, Foudre baixa um arquivo de assinatura dedicado criptografado com uma chave privada RSA pelo agente da ameaça e então usa a verificação RSA com uma chave pública incorporada para verificar se este domínio é um domínio aprovado”, disse Bar. "O formato da solicitação é:
'https:///key/.sig.'"
Também está presente no servidor C2 um diretório de “download” cuja finalidade atual é desconhecida. Suspeita-se que seja usado para baixar e atualizar para uma nova versão.
A versão mais recente do Tonnerre, por outro lado, inclui um mecanismo para entrar em contato com um grupo do Telegram (chamado “سرافراز”, que significa “orgulhosamente” em persa) através do servidor C2. O grupo tem dois membros: um bot do Telegram “@ttestro1bot” que provavelmente é usado para emitir comandos e coletar dados, e um usuário com o identificador “@ehsan8999100”.
Embora o uso do aplicativo de mensagens para C2 não seja incomum, o que chama a atenção é que as informações sobre o grupo Telegram são armazenadas em um arquivo chamado “tga.adr” dentro de um diretório chamado “t” no servidor C2. Vale ressaltar que o download do arquivo “tga.adr” só pode ser acionado para uma lista específica de GUIDs de vítimas.
Também foram descobertas pela empresa de segurança cibernética outras variantes mais antigas usadas nas campanhas do Foudre entre 2017 e 2020 -
Uma versão do Foudre camuflada como Amaq News Finder para baixar e executar o malware
Uma nova versão de um trojan chamado MaxPinner que é baixado pelo Foudre versão 24 DLL para espionar o conteúdo do Telegram
Uma variação de malware chamada Deep Freeze, semelhante ao Amaq News Finder, é usada para infectar vítimas com Foudre
Um malware desconhecido chamado Rugissement
“Apesar da aparência de ter escurecido em 2022, os atores da ameaça Prince of Persia fizeram exatamente o oposto”, disse SafeBreach. “Nossa campanha de pesquisa contínua sobre esse grupo prolífico e evasivo destacou detalhes críticos sobre suas atividades, servidores C2 e identificou variantes de malware nos últimos três anos”.
A divulgação ocorre no momento em que a análise contínua da DomainTools sobre os vazamentos do Charming Kitten pintou o quadro de um grupo de hackers que funciona mais como um departamento governamental, enquanto executa “operações de espionagem com precisão burocrática”. O ator da ameaça também foi desmascarado por trás da personalidade do Cajado de Moisés.
“O APT 35, a mesma máquina administrativa que executa as operações de phishing de credenciais de longo prazo em Teerã, também executou a logística que alimentou o teatro de ransomware do Moses Staff”, disse a empresa.
"Os supostos hacktivistas e o governo
“A escala da atividade do Prince of Persia é mais significativa do que previmos originalmente”, disse Tomer Bar, vice-presidente de pesquisa de segurança da SafeBreach, em um detalhamento técnico compartilhado com o The Hacker News. “Este grupo de ameaças ainda está ativo, relevante e perigoso.”
Infy é um dos mais antigos atores de ameaças persistentes avançadas (APT) existentes, com evidências de atividades iniciais que remontam a dezembro de 2004, de acordo com um relatório divulgado pela Palo Alto Networks Unit 42 em maio de 2016, também de autoria de Bar, juntamente com o pesquisador Simon Conant.
O grupo também conseguiu permanecer evasivo, atraindo pouca atenção, ao contrário de outros grupos iranianos, como Charming Kitten, MuddyWater e OilRig. Os ataques montados pelo grupo aproveitaram de forma proeminente duas variedades de malware: um downloader e um criador de perfis de vítimas chamado Foudre, que fornece um implante de segundo estágio chamado Tonnerre para extrair dados de máquinas de alto valor. Avalia-se que o Foudre é distribuído por meio de e-mails de phishing.
As últimas descobertas do SafeBreach revelaram uma campanha secreta que tem como alvo vítimas no Irão, Iraque, Turquia, Índia e Canadá, bem como na Europa, utilizando versões atualizadas do Foudre (versão 34) e Tonnerre (versões 12-18, 50). A versão mais recente do Tonnerre foi detectada em setembro de 2025.
As cadeias de ataque também testemunharam uma mudança de um arquivo Microsoft Excel com macros para a incorporação de um executável nesses documentos para instalar o Foudre. Talvez o aspecto mais notável do modus operandi do agente da ameaça seja o uso de um algoritmo de geração de domínio (DGA) para tornar sua infraestrutura de comando e controle (C2) mais resiliente.
Além disso, sabe-se que os artefatos Foudre e Tonnerre validam se o domínio C2 é autêntico baixando um arquivo de assinatura RSA, que o malware então descriptografa usando uma chave pública e compara com um arquivo de validação armazenado localmente.
A análise da infraestrutura C2 do SafeBreach também descobriu um diretório chamado “chave” que é usado para validação C2, junto com outras pastas para armazenar logs de comunicação e arquivos exfiltrados.
“Todos os dias, Foudre baixa um arquivo de assinatura dedicado criptografado com uma chave privada RSA pelo agente da ameaça e então usa a verificação RSA com uma chave pública incorporada para verificar se este domínio é um domínio aprovado”, disse Bar. "O formato da solicitação é:
'https://
Também está presente no servidor C2 um diretório de “download” cuja finalidade atual é desconhecida. Suspeita-se que seja usado para baixar e atualizar para uma nova versão.
A versão mais recente do Tonnerre, por outro lado, inclui um mecanismo para entrar em contato com um grupo do Telegram (chamado “سرافراز”, que significa “orgulhosamente” em persa) através do servidor C2. O grupo tem dois membros: um bot do Telegram “@ttestro1bot” que provavelmente é usado para emitir comandos e coletar dados, e um usuário com o identificador “@ehsan8999100”.
Embora o uso do aplicativo de mensagens para C2 não seja incomum, o que chama a atenção é que as informações sobre o grupo Telegram são armazenadas em um arquivo chamado “tga.adr” dentro de um diretório chamado “t” no servidor C2. Vale ressaltar que o download do arquivo “tga.adr” só pode ser acionado para uma lista específica de GUIDs de vítimas.
Também foram descobertas pela empresa de segurança cibernética outras variantes mais antigas usadas nas campanhas do Foudre entre 2017 e 2020 -
Uma versão do Foudre camuflada como Amaq News Finder para baixar e executar o malware
Uma nova versão de um trojan chamado MaxPinner que é baixado pelo Foudre versão 24 DLL para espionar o conteúdo do Telegram
Uma variação de malware chamada Deep Freeze, semelhante ao Amaq News Finder, é usada para infectar vítimas com Foudre
Um malware desconhecido chamado Rugissement
“Apesar da aparência de ter escurecido em 2022, os atores da ameaça Prince of Persia fizeram exatamente o oposto”, disse SafeBreach. “Nossa campanha de pesquisa contínua sobre esse grupo prolífico e evasivo destacou detalhes críticos sobre suas atividades, servidores C2 e identificou variantes de malware nos últimos três anos”.
A divulgação ocorre no momento em que a análise contínua da DomainTools sobre os vazamentos do Charming Kitten pintou o quadro de um grupo de hackers que funciona mais como um departamento governamental, enquanto executa “operações de espionagem com precisão burocrática”. O ator da ameaça também foi desmascarado por trás da personalidade do Cajado de Moisés.
“O APT 35, a mesma máquina administrativa que executa as operações de phishing de credenciais de longo prazo em Teerã, também executou a logística que alimentou o teatro de ransomware do Moses Staff”, disse a empresa.
"Os supostos hacktivistas e o governo
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #iranian #infy #apt #ressurge #com #nova #atividade #de #malware #após #anos #de #silêncio
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário