НАЗАД К НОВОСТЯМ
Срочные новости

Группа Infy возобновляет кибершпионаж с модернизированной скрытой инфраструктурой C2

3 мин чтенияИсточник: The Hacker News

Иранская APT-группа Infy (Prince of Persia) возобновила кибершпионаж после интернет-блокировки в Иране, внедрив усовершенствованные методы уклонения от обнаружения.

Иранская APT-группа Infy возобновляет операции с усовершенствованными тактиками уклонения

Иранская группа продвинутых постоянных угроз (APT) Infy (также известная как Prince of Persia) возобновила свои операции в области кибершпионажа после завершения общенационального отключения интернета в Иране. Злоумышленники развернули новую инфраструктуру командных и управляющих серверов (C2), одновременно усовершенствовав тактики уклонения от обнаружения, сообщают исследователи в области кибербезопасности.

Основные события и хронология

  • Прекращение активности: Группа Infy остановила обслуживание своих существующих C2-серверов 8 января 2026 года, что стало первым перерывом в её деятельности с момента начала наблюдений.
  • Отключение интернета: Бездействие группы совпало с общенациональным отключением интернета в Иране, введённым в начале февраля 2026 года на фоне внутренних волнений.
  • Возобновление операций: После восстановления доступа к интернету Infy восстановила свою C2-инфраструктуру, внедрив новые методы уклонения для сокрытия своей деятельности.

Технический анализ обновлённых тактик

Ранее группа Infy нацеливалась на государственные структуры, диссидентов и региональных противников, используя целевой фишинг (spear-phishing) и специализированное вредоносное ПО. Хотя конкретные детали новой C2-инфраструктуры пока не раскрыты, эксперты по кибербезопасности отмечают следующие вероятные усовершенствования:

  • Алгоритмы генерации доменов (DGA): Возможное использование DGA для динамического создания доменов C2, что усложняет усилия по их блокировке.
  • Обфускация трафика: Вероятное внедрение зашифрованных туннелей (например, DNS-over-HTTPS или VPN-коммуникации) для маскировки вредоносного трафика.
  • Использование легитимных инструментов (LOLBins): Усиленная зависимость от системных утилит для снижения количества цифровых следов.
  • Fast-Flux-хостинг: Быстрая ротация IP-адресов, связанных с доменами C2, для уклонения от чёрных списков.

Влияние и атрибуция

Операции Infy соответствуют целям государственного кибершпионажа Ирана, ориентированным на сбор разведданных и слежку. Возобновление активности группы подчёркивает продолжающиеся инвестиции Тегерана в кибервозможности, несмотря на геополитические потрясения.

  • Цели: Вероятные объекты атак — правительства стран Ближнего Востока, активисты и иностранные дипломатические миссии.
  • Мотивация: Основная задача — стратегический сбор разведданных, возможны вторичные цели, связанные с операциями влияния.

Рекомендации для специалистов по защите

Командам кибербезопасности следует уделить первоочередное внимание следующим мерам для обнаружения и противодействия обновлённым тактикам Infy:

  1. Мониторинг сети

    • Внедрить аналитику поведения для выявления аномальных шаблонов связи с C2.
    • Отслеживать необычный исходящий трафик, особенно на недавно зарегистрированные домены или известные вредоносные диапазоны IP-адресов.

  2. Защита конечных точек

    • Реализовать белые списки приложений для блокировки несанкционированного выполнения LOLBins.
    • Активировать продвинутые системы обнаружения угроз (например, EDR/XDR) для выявления подозрительных инъекций процессов или горизонтального перемещения.

  3. Разведка угроз

    • Подписаться на специализированные фиды угроз APT для отслеживания изменений в инфраструктуре Infy (например, домены C2, хеши вредоносного ПО).
    • Сопоставлять индикаторы компрометации (IOC) с угрозами, связанными с Ираном, для контекстуализации оповещений.

  4. Обучение пользователей

    • Проводить целевые фишинговые учения для обучения сотрудников распознаванию приманок в целевых фишинговых атаках — распространённого вектора заражения Infy.

  5. Реагирование на инциденты

    • Разработать сценарии реагирования на активность иранских APT, включая стратегии локализации для семейств вредоносного ПО Infy (например, Foudre, Tonnerre).

Заключение

Возвращение Infy к активным операциям демонстрирует устойчивость государственных киберугроз и сложности отслеживания групп, адаптирующихся к геополитическим потрясениям. Организациям в высокорисковых секторах — особенно государственным, оборонным и правозащитным — следует исходить из того, что Infy остаётся активной угрозой, и соответствующим образом корректировать меры защиты.

Для получения дополнительных индикаторов компрометации (IOC) и технического анализа обратитесь к отчётам CrowdStrike, Mandiant или оригинальной публикации на The Hacker News (источник).

Поделиться

TwitterLinkedIn