Izvor fotografije: Shutterstock.com
Kako prenosi CyberOwl, kompanija specijalizovana za pomorsku sajber bezbjednost, otkrivena je sofisticirana phishing i malware kampanja usmjerena na aktere u trgovini iranskom naftom i gasom, uključujući i kapetane brodova.
Prema njihovom izvještaju, napadači su kreirali lažni domen vaproum[.]biz, registrovan 23. januara i ažuriran 4. marta 2025. godine. Sa te adrese su 11. marta poslata najmanje dva phishing mejla predstavljena kao komunikacija koja dolazi od švajcarske inženjerske kompanije SGS, aktivne i u Iranu, upućena firmi Sepehr Energy Jahan Nemaye Pars Co., povezanoj sa trgovinom naftom i gasom i, navodno, iranskim vojnim strukturama. Jedan mejl je sadržao lozinkom zaštićeni rar fajl, dok je drugi imao prikačen gz fajl.
CyberOwl navodi da je 17. aprila 2025. jedan mejl, navodno poslat od strane F. Taghipoura iz kompanije Smart Exports LLC, dostavljen direktno na adresu kapetana broda. U poruci je korišćen stručni vokabular koji je mogao djelovati uvjerljivo, a priložen zip fajl sadržao je javascript fajl sa višestepenim malware programom za preuzimanje. Nakon otvaranja, automatski se pokreće lanac infekcije.
Maliciozni javascript fajl preuzima i izvršava sadržaj sa adrese agout12.lovestoblog.com, sajta za besplatni hosting koji omogućava anoniman rad. Nakon detekcije pokušaja izvršavanja skripti iz mejla, CyberOwl je blokirao napad i pokrenuo analizu u izolovanom laboratorijskom okruženju. Sljedeći korak u infekciji uključivao je preuzimanje jpg fajla sa sajta archive.org, unutar kojeg se nalazila skrivena izvršna skripta,metoda poznata kao “SteganoAmor”.
Zlonamjerni kod učitava se direktno u memoriju sistema kako bi izbjegao antivirusnu detekciju, koristi zakazane zadatke za trajnost i omogućava daljinsku kontrolu nad kompromitovanim uređajem. Finalni malver u ovom slučaju bio je varijanta poznatog špijunskog softvera Agent Tesla.
Iako su mete bili subjekti povezani sa iranskom trgovinom naftom i gasom, jedna od meta, komercijalni brod na kojem je napad otkriven, nema nikakve veze sa Iranom, što otvara mogućnost da motivacija napada nije samo politička. U drugim slučajevima gdje je korišćena ista tehnika (jpg fajl sa archive.org), navodi se finansijski motiv. CyberOwl je takođe otkrio pokušaje imitacije firmi iz UAE i Kine, što ukazuje na širu metu u sektoru nafte, gasa i brodarstva.
Prema dostupnim informacijama, moguće je da se napadi odvijaju uz korišćenje zajedničke malware-as-a-service platforme, ali da ih sprovode različite grupe.
Pored standardnih mjera zaštite od phishing prijetnji, kao što su skeniranje elektronske pošte, obuka posade i neprekidno nadgledanje, CyberOwl naglašava i sljedeće:
- Neophodno je razumjeti reputacione rizike koji mogu proizaći iz curenja povjerljivih informacija usljed sajber napada, posebno u kontekstu promjenjivih međunarodnih sankcija.
- Rizik se mora sagledati kroz dobru analizu poslovnih operacija kako bi se znalo koje tačno informacije treba štititi.
Kako navodi Marlink u svom globalnom izvještaju o sajber prijetnjama u pomorstvu za drugu polovinu 2024. godine, napadači sve više primjenjuju strukturisane i profesionalizovane metode, koristeći nove tehnologije za povećanje efikasnosti i dometa svojih sajber napada.
Izvor: Safety4Sea