Национальное управление по кибербезопасности выпустило предупреждение об иранской фишинговой атаке, которая включает в себя электронные письма, пытающиеся убедить отдельных лиц и организации загрузить обновление безопасности, которое на самом деле представляет собой вредоносное программное обеспечение, которое может похитить или удалить данные. Исследователь Управления в сотрудничестве с коммерческой фирмой обнаружил, что атака была поддержана иранской наступательной хакерской группой.
Поставщик продуктов безопасности F5 объявил, что атака может осуществляться множеством разных организаций. В атакующем сообщении утверждается, что доступно критическое обновление безопасности, и его необходимо загрузить по прикрепленной ссылке. Управление установило, что осуществление такой атаки потребовало от хакерской группы значительной подготовительной работы, включая идентификацию соответствующего технического персонала в атакованных организациях, которые были обозначены в качестве целей для такого сообщения. Цель была выбрана с целью внедрения вредоносного программного обеспечения на все серверы целевой организации. Ссылка содержит два вредоносных файла, которые запускают программы для сбора данных и уничтожения всех данных в сети организации.
Атака использует адреса электронной почты, которые на первый взгляд кажутся безобидными, но имеют странное окончание, и использует объявление F5, чтобы убедить цель в необходимости загрузить и запустить определенный файл для защиты своей сети. Цель состоит в том, чтобы убедить тех, кто в противном случае отказался бы, и для этой цели сообщение может также включать фальсифицированные заявления F5 и информацию о целевых сетях, включая ее IP-адрес.
В предупреждении Национального управления по кибербезопасности подробно описаны исследования вредоносных файлов, способы выявления атаки и определение признаков, которые необходимо заблокировать в целевой сети. Управление призывает организации принять меры по блокированию атак до того, как они произойдут, сообщать о подобных сообщениях и избегать нажатия на ссылки до их проверки.