Xakep #240. Ghidra

• Содержание выпуска


• Подписка на «Хакер»

Были обнародованы судебные документы, проливающие свет на противостояние компании Microsoft и иранской хакерской группировки APT35, также известной под названиями Phosphorus, Charming Kitten и Ajax Security Team.

Как оказалось, некоторое время назад подразделение Microsoft Digital Crimes Unit обратилось в суд и выиграло процесс, получив запретительное постановление, переводящее под управление компании 99 доменов, до этого принадлежавших APT35.

Известно, что эти домены использовались хакерами для целевых фишинговых атак, направленных на пользователей из США и других странах мира. Доменные имена нарочито походили на имена легитимных доменов Microsoft, Yahoo и других крупных компаний, и использовались для сбора учетных данных жертв, которых злоумышленники заманивали на такие сайты. Так, в числе конфискованных у APT35 доменов числились outlook-verify.net, yahoo-verify.net, verification-live.com, а также myaccount-services.net.

В Microsoft подчеркивают, что доменные регистраторы оказали компании всяческую поддержу, и помогли «отобрать» домены у хакеров, сразу же после получения компанией запретительного постановления.

Хакеры часто используют в своих кампаниях зарегистрированные товарные знаки, защищенные авторским правом, из-за чего настоящие представители брендов нередко обращаются в суд. В последние годы эксперты Microsoft успешно используют эту тактику для борьбы с «правительственными хакерами» разных стран. Например, летом 2018 года ИТ-гигант точно так же перехватил контроль над шестью доменами, которые использовала группа APT28, также известная под названиями Fancy Bear, Pawn Storm, Strontium, Sofacy, Sednit и Tsar Team. А согласно заявлению, опубликованному 27 марта 2019 года в официальном блоге Microsoft, компания и вовсе применяла данную тактику уже более 15 раз и суммарно вывела из-под контроля APT28 уже 91 доменное имя.