IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

هدفگیری اهداف با ارزش امنیت هسته‌ای و تحقیقات ژنومی توسط هکر‌های ایرانی

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir iranian hackers target high value targets 1
بنابر ادعای خبرگزاری‌های سایبری، هکر‌های مرتبط با دولت ایران افراد متخصص در امور خاورمیانه، امنیت هسته‌ای و تحقیقات ژنوم را به‌عنوان بخشی از یک کمپین جدید مهندسی اجتماعی که برای جستجوی اطلاعات حساس طراحی شده است، هدف قرار داده‌اند.

شرکت امنیتی Proofpoint حملات هدفمند را به عامل تهدیدی به نا‌م TA453 نسبت داد که به طور گسترده با فعالیت‌های سایبری که تحت نام‌های APT42، Charming Kitten و Phosphorus نظارت می‌شوند، همپوشانی دارد.
همه‌چیز با یک ایمیل فیشینگ جعل هویت افراد قانونی در سازمان‌های تحقیقاتی سیاست خارجی غربی شروع می‌شود که در‌نهایت برای جمع‌آوری اطلاعات از طرف سپاه پاسداران انقلاب اسلامی (IRGC) طراحی شده است.

این حساب‌های ساختگیی شامل افرادی از مرکز تحقیقات Pew، موسسه تحقیقات سیاست خارجی (FRPI)، چتم هاوس بریتانیا و مجله علمی نیچر است. گفته می‌شود این تکنیک در اواسط ژوئن ٢٠٢٢ به‌کار گرفته شده است.

با‌این‌حال، چیزی که این حمله را از سایر حملات فیشینگ متمایز می‌کند، استفاده از یک تاکتیک Proofpoint فراخوانی جعل هویت چندشخصی (MPI) است، که در آن عامل تهدید نه یک بلکه چندین شخصیت تحت کنترل بازیگر را در یک مکالمه ایمیلی به‌کار می‌گیرد تا شانس موفقیت را تقویت کند.

ایده این است که "از اصل روانشناسی اثبات اجتماعی استفاده کنیم" و اعتبار مکاتبات عامل تهدید را افزایش دهیم تا هدف را وادار به ورود در این طرح کنیم، تاکتیکی که نشان‌دهنده توانایی مستمر حریف در تقویت بازی خود است.

شرود دگریپو، معاون تحقیقات و شناسایی تهدیدات در Proofpoint در بیانیه‌ای گفت : «این یک تکنیک جذاب است زیرا به منابع بیشتری برای استفاده در هر هدف نیاز دارد (احتمالا شخصیت‌های بیشتری را می‌طلبد) و یک رویکرد هماهنگ بین شخصیت‌های مختلف مورد استفاده TA453 را در بر میگیرد.»

هنگامی که ایمیل اولیه پاسخی را از طرف هدف دریافت می‌کند، شخص مورد نظر پیام بعدی حاوی یک لینک مخرب OneDrive را ارسال می‌کند که یک فایل مایکروسافت آفیس را دانلود می‌کند، که یکی از آنها ظاهرا به درگیری بین روسیه و ایالات متحده اشاره دارد.

takian.ir iranian hackers target high value targets 2

این فایل متعاقبا از تکنیکی به نام تزریق الگو از راه دور برای دانلود Korg استفاده می‌کند که یک الگوی متشکل از سه ماکرو که قادر به جمع‌آوری نام‌های کاربری، فهرستی از فرآیند‌های در حال اجرا و آدرس‌های IP عمومی قربانیان هستند، میباشد.

علاوه بر استخراج اطلاعات، هیچ اقدام دیگری پس از بهره‌برداری مشاهده نشده است. فقدان "غیر عادی" اجرای کد و رفتار command-and-control منجر به این ارزیابی شده است که کاربران در معرض خطر ممکن است بر اساس نرم‌افزار نصب شده در معرض حملات بیشتری قرار گیرند.

این اولین‌بار نیست که این عامل تهدید کمپین‌های جعل هویت را انجام می‌دهد. در ژوئیه ٢٠٢١، Proofpoint یک عملیات فیشینگ به نام SpoofedScholars را فاش کرد که افراد متمرکز بر امور خاورمیانه در ایالات متحده و بریتانیا را تحت پوشش محققان دانشکده مطالعات شرقی و آفریقایی دانشگاه لندن (SOAS) هدف قرار می‌داد.

سپس در ژوئیه ٢٠٢٢، شرکت امنیت سایبری تلاش‌هایی را از سوی TA453 کشف کرد که نشان میداد، آنها خود را به‌عنوان روزنامه‌نگار نشان داده‌اند تا دانشگاهیان و کارشناسان سیاست‌گذاری را برای کلیک کردن روی لینک‌های مخربی که اهداف را به دامنین‌های جمع‌آوری اعتبارنامه هدایت می‌کنند، فریب دهند.

این آخرین افشاگری در بحبوحه فعالیت‌های سایبری مرتبط با ایران است که صورت می‌گیرد. هفته گذشته، مایکروسافت مجموعه‌ای از حملات باج‌افزاری را که توسط زیرگروه فسفر موسوم به DEV-0270 با استفاده از باینری‌های living-off-the-land مانند BitLocker نصب شده بود، پرده‌برداری کرد.

علاوه بر این، شرکت امنیت سایبری Mandiant که اکنون به‌طور رسمی بخشی از Google Cloud است، جزئیات فعالیت‌های یک عامل جاسوسی ایرانی با کد APT42 را که از سال ٢٠١۵ با بیش از ٣٠ عملیات مرتبط بوده است، ارائه کرد.

علاوه بر همه اینها، وزارت خزانه‌داری در واکنش به «فعالیت‌های سایبری علیه ایالات متحده و متحدانش»، تحریم‌هایی را علیه وزارت اطلاعات و امنیت ایران (MOIS) و وزیر اطلاعات جمهوری اسلامی ایران، اسماعیل خطیب، اعلام کرد.

آلبانی که روابط دیپلماتیک خود را با ایران پس از مقصر دانستن یک سری حملات سایبری از ماه ژوئیه قطع کرده است، در آخر هفته به دلیل انجام حمله دیگری به یک سیستم دولتی که برای رد‌یابی گذرگاه‌های مرزی استفاده می‌شود، انگشت خود را به سوی «همان افراد» نشانه رفت.

دیگریپو گفت : «عاملان تهدید همسو با دولت برخی از بهترین‌ها در ایجاد کمپین‌های مهندسی اجتماعی اندیشیده شده برای دستیابی به قربانیان مورد نظر خود هستند.»

«محققان درگیر در حوزه امنیت بین‌المللی، به‌ویژه آن‌هایی که در مطالعات خاورمیانه یا امنیت هسته‌ای تخصص دارند، باید هنگام دریافت ایمیل‌های ناخواسته، هوشیاری بالایی داشته و دقت کافی را به خرج دهند. »

برچسب ها: DEV-0270, SpoofedScholars, Korg, FRPI, تحریم‌های ظالمانه, APT42, Spyware, MOIS, TA453, Phosphorus, IRGC, سپاه پاسداران انقلاب اسلامی, Mandiant, Iran, جعل هویت, Social Engineering, مهندسی اجتماعی, ایران, phishing, malware, ransomware , Charming Kitten, APT35, Cyber Security, حملات سایبری, جاسوسی سایبری, جاسوسی, مایکروسافت, هکر, فیشینگ, باج افزار, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل