یک گروه تهدید مرتبط با سپاه پاسداران انقلاب اسلامی (IGRC) در حال راه اندازی پیام های سیاسی و مشاغل فنی ساختگی است تا کارکنان را فریب دهد و سیستم های سازش در شرکت های هوافضا و دفاعی در اسرائیل، امارات متحده عربی و دیگر کشورهای خاورمیانه بزرگ را فریب دهد.
این کمپین که توسط Google Cloud's Mandiant کشف شده است، به نظر می رسد با گروه تهدید ایرانی UNC1549 - که با نام Smoke Sandstorm و Tortoiseshell نیز شناخته می شود - مرتبط است و حملات فیشینگ نیزه ای را برای برداشت اعتبار و رها کردن بدافزار اجرا می کند.
یک مصالحه موفق معمولاً منجر به نصب نرمافزار درب پشتی روی سیستمهای آسیبدیده میشود، معمولاً برنامهای به نام MINIBIKE یا پسرعموی بهروزتر آن، MINIBUS.
جاناتان لتری، تحلیلگر اصلی Google Cloud's Mandiant میگوید بین فیشینگ نیزهای متمرکز بر اشتغال و استفاده از زیرساختهای ابری برای فرماندهی و کنترل، تشخیص حمله ممکن است دشوار باشد.
او میگوید: «قابل توجهترین بخش این است که کشف و ردیابی این تهدید تا چه حد میتواند توهمآمیز باشد – آنها به وضوح به منابع قابل توجهی دسترسی دارند و در هدفگیری انتخابی هستند. احتمالاً فعالیت بیشتری از این بازیگر وجود دارد که هنوز کشف نشده است، و حتی اطلاعات کمتری در مورد نحوه عملکرد آنها پس از به خطر انداختن یک هدف وجود دارد.
گروه های تهدید ایران به طور فزاینده ای صنایع حساس را برای به دست آوردن اسرار دولتی و مالکیت معنوی هدف قرار داده اند. در سال 2021، مایکروسافت به یک تغییر چشمگیر اشاره کرد، بهعنوان مثال، گروههای عملیات سایبری مرتبط با ایران که بر شرکتهای خدمات فناوری اطلاعات تمرکز کردند، به عنوان راهی برای جهش به شبکههای مشتریان دولتی. این شرکت نفوذها را شناسایی و به بیرون فرستاد 1,647 اطلاعیه به شرکت های خدمات فناوری اطلاعات پس از شناسایی بازیگران مستقر در ایران که آنها را مورد هدف قرار می دهند، جهشی عظیم از تنها 48 اعلامیه ارسال شده توسط مایکروسافت در سال 2020 مشاهده شد.
دود و بدافزار
مایکروسافت خاطرنشان کرد که Smoke Sandstorm - نام آن برای این گروه - حسابهای ایمیل یک ادغامکننده فناوری اطلاعات مستقر در بحرین را در سال 2021 به خطر انداخته است، احتمالاً راهی برای دسترسی به مشتریان دولتی این شرکت. مایکروسافت برخی از عملیات فیشینگ نیزه ای گروه را مختل کرد مه 2022.
در حالی که گروه Tortoiseshell - که توسط Google با نام UNC1549 و توسط CrowdStrike Imperial Kitten نیز شناخته میشود - همچنان بر ارائهدهندگان خدمات فناوری اطلاعات تمرکز میکند، این گروه هماکنون حملات پرخطر و فیشینگ نیزهای را بهعنوان تاکتیکهای اولیه آلودگی اولیه خود انجام میدهد.
با این حال، گروه تهدید از آن زمان مجدداً گروه بندی شده است و از فوریه 2024 شرکت های هوافضا، هوانوردی و دفاعی در اسرائیل و امارات را هدف قرار داده است. گوگل در تحلیل خود اعلام کرد. این گروه همچنین ممکن است با حملات سایبری به صنایع مشابه در آلبانی، هند و ترکیه مرتبط باشد.
گوگل نوشت: «اطلاعات جمعآوریشده در مورد این نهادها با منافع استراتژیک ایران مرتبط است و ممکن است برای جاسوسی و همچنین عملیات جنبشی مورد استفاده قرار گیرد.» این امر بیشتر توسط روابط بالقوه بین UNC1549 و سپاه ایران پشتیبانی میشود.»
پیامهای فیشینگ نیزهای پیوندهایی را به وبسایتهایی ارسال میکنند که به نظر میرسد یا یک سایت شغلی هستند - به طور خاص بر موقعیتهای مرتبط با فناوری و دفاع تمرکز دارند - یا بخشی از جنبش «اکنون آنها را به خانه بیاورید» که خواستار بازگشت گروگانهای اسرائیلی هستند.
زنجیره حمله در نهایت منجر به دانلود یکی از دو درب پشتی منحصر به فرد به سیستم قربانی می شود. MINIBIKE یک برنامه ++C است که به عنوان یک درب پشتی طراحی شده است که امکان استخراج یا آپلود داده ها و همچنین اجرای دستور را فراهم می کند. به گفته گوگل، MINIBUS، نوع جدیدتر آن، دارای انعطاف پذیری بیشتر و "ویژگی های شناسایی پیشرفته" است.
حملات سایبری سفارشی شده
به نظر می رسد گروه UNC1549 شناسایی و آماده سازی قابل توجهی را قبل از حملات انجام می دهد، از جمله رزرو نام های دامنه ای که با گروه هدف مطابقت دارند. Leathery میگوید به دلیل سطح محتوای سفارشی ایجاد شده برای هر شرکت هدف، تخمین تعداد کل سازمانهای هدف دشوار است.
او میگوید: «دادهها نشان میدهند که آنها اهداف خاصی را شناسایی میکنند [و] احتمالاً استراتژی خود را در اطراف هدف شکل میدهند – برای مثال، دامنههایی را ثبت میکنند که مستقیماً به یک هدف خاص مرتبط هستند». "در بسیاری از موارد آنها حاوی محتوای فریبنده ای هستند که باید از اطلاعات قانونی در دسترس عموم ایجاد یا تحقیق شوند [یا] تغییر کاربری داده شوند."
Google Cloud's Mandiant این انتساب را به عنوان اطمینان "متوسط" ارزیابی کرد، به این معنی که محققان تهدید معتقدند که به احتمال زیاد این فعالیت توسط گروه UNC1549 انجام شده است.
او میگوید: «ما فکر میکنیم به احتمال زیاد UNC1549 آن را انجام داده است، اما شواهد کافی برای رد این موضوع وجود ندارد که ممکن است گروه دیگری بوده باشد. با این حال، حتی در این شرایط بعید، ما فکر میکنیم که این گروه صرفاً یک گروه متفاوت است که در حمایت از آن فعالیت میکند حکومت ایران"
مراقب پیوندهای ایمیل و نشان دادن مشکوک باشید
گوگل در تجزیه و تحلیل تکنیکی خود، شاخصهای خاصی از سازش (IOC) را برای بدافزار MINIBIKE، از جمله استفاده از چهار دامنه Azure برای فرمان و کنترل، کلید رجیستری OneDrive برای حفظ پایداری، و چرخهی ارتباطات بیکن بر روی سه نام فایل با تقلید از مؤلفههای وب، شرح میدهد. .
MINIBUS جدیدتر، در عین حال، جمع و جورتر و انعطاف پذیرتر است. گوگل تعدادی از نامهای فایل DLL را فهرست میکند و هشدار میدهد که بدافزار سعی میکند تشخیص دهد که آیا روی یک ماشین مجازی اجرا میشود یا خیر.
به گفته گوگل، با اتکای UNC1549 به تحقیق در مورد اهداف و فیشینگ نیزه ای سفارشی، شرکت ها باید پیوندهای نامعتبر را در ایمیل ها مسدود کنند و به آموزش های آگاهی بخشی روی آورند تا کارمندان خود را در مورد آخرین روش های فیشینگ به روز نگه دارند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyberattacks-data-breaches/illusive-iranian-hacking-group-ensnares-israeli-uae-aerospace-and-defense-firms