Хакеры, связанные с Ираном, взломали государственные ведомства Омана

На открытом сервере в ОАЭ специалисты нашли инструменты для атак, журналы работы операторов, управляющий сервер и украденные данные десятков тысяч граждан. Главной целью операции стало Министерство юстиции и правовых дел Омана.

Сервер с открытым каталогом находился по адресу 172.86.76[.]127 и работал на площадке RouterHosting. Любой желающий мог получить доступ к файлам злоумышленников. Среди содержимого оказались сценарии атак, управляющий код, журналы подключений и архивы с похищенной информацией, пишет Securitylab.

Специалисты Hunt выяснили, что кампания затронула не только Министерство юстиции. Атаки также велись против Королевской полиции Омана, Налогового управления, Государственного контрольного органа, Министерства финансов, Управления гражданской авиации и других ведомств. Всего следы активности нашли в инфраструктуре 12 государственных организаций.

На сервере обнаружили отдельный каталог с инструментами для взлома правительственных систем Омана. Внутри находились сценарии для атак на Microsoft Exchange, повышения привилегий в SQL Server, обхода защитных механизмов и запуска вредоносного кода прямо в памяти компьютеров.

Операторы использовали веб-оболочку, размещённую на сервере министерства. Через неё злоумышленники выполняли команды на заражённых системах, собирали данные и перемещались по внутренней сети. Один из сценариев автоматически запускал команды для получения сведений о пользователе, имени компьютера и сетевой конфигурации.

Журналы управляющего сервера показывают, что атака продолжалась как минимум до 10 апреля 2026 года. За это время злоумышленники выгрузили более 26 тыс. учётных записей пользователей системы министерства, включая адреса электронной почты и учётные данные. Также похищены судебные материалы, решения комитетов, сведения о сертификации специалистов и данные граждан Омана.

Среди украденной информации оказались номера национальных удостоверений личности, даты рождения, имена на арабском и английском языках, а также сведения о гражданстве. Данные сохранялись в отдельном каталоге на управляющем сервере.

Для закрепления в системе операторы пытались создать задачу MicrosoftEdgeUpdate, которая обеспечивала бы постоянный доступ к сети ведомства. Встроенная защита Windows заблокировала попытку, однако на сервере нашли отдельные сценарии для отключения антивируса.

По используемым инструментам и методам операция напоминает деятельность группировок APT34 и MuddyWater, которые ранее связывали с Министерством разведки и безопасности Ирана. Среди совпадений специалисты отметили применение ProxyShell, PowerShell, Chisel и характерных методов работы внутри сети.