یک گروه تهدید مرتبط با سپاه پاسداران انقلاب اسلامی (IGRC) در حال راه اندازی پیام های سیاسی و مشاغل فنی ساختگی است تا کارکنان را فریب دهد و سیستم های سازش در شرکت های هوافضا و دفاعی در اسرائیل، امارات متحده عربی و دیگر کشورهای خاورمیانه بزرگ را فریب دهد.

این کمپین که توسط Google Cloud's Mandiant کشف شده است، به نظر می رسد با گروه تهدید ایرانی UNC1549 - که با نام Smoke Sandstorm و Tortoiseshell نیز شناخته می شود - مرتبط است و حملات فیشینگ نیزه ای را برای برداشت اعتبار و رها کردن بدافزار اجرا می کند.

یک مصالحه موفق معمولاً منجر به نصب نرم‌افزار درب پشتی روی سیستم‌های آسیب‌دیده می‌شود، معمولاً برنامه‌ای به نام MINIBIKE یا پسرعموی به‌روزتر آن، MINIBUS.

جاناتان لتری، تحلیلگر اصلی Google Cloud's Mandiant می‌گوید بین فیشینگ نیزه‌ای متمرکز بر اشتغال و استفاده از زیرساخت‌های ابری برای فرماندهی و کنترل، تشخیص حمله ممکن است دشوار باشد.

او می‌گوید: «قابل توجه‌ترین بخش این است که کشف و ردیابی این تهدید تا چه حد می‌تواند توهم‌آمیز باشد – آنها به وضوح به منابع قابل توجهی دسترسی دارند و در هدف‌گیری انتخابی هستند. احتمالاً فعالیت بیشتری از این بازیگر وجود دارد که هنوز کشف نشده است، و حتی اطلاعات کمتری در مورد نحوه عملکرد آنها پس از به خطر انداختن یک هدف وجود دارد.

گروه های تهدید ایران به طور فزاینده ای صنایع حساس را برای به دست آوردن اسرار دولتی و مالکیت معنوی هدف قرار داده اند. در سال 2021، مایکروسافت به یک تغییر چشمگیر اشاره کرد، به‌عنوان مثال، گروه‌های عملیات سایبری مرتبط با ایران که بر شرکت‌های خدمات فناوری اطلاعات تمرکز کردند، به عنوان راهی برای جهش به شبکه‌های مشتریان دولتی. این شرکت نفوذها را شناسایی و به بیرون فرستاد 1,647 اطلاعیه به شرکت های خدمات فناوری اطلاعات پس از شناسایی بازیگران مستقر در ایران که آنها را مورد هدف قرار می دهند، جهشی عظیم از تنها 48 اعلامیه ارسال شده توسط مایکروسافت در سال 2020 مشاهده شد.

دود و بدافزار

مایکروسافت خاطرنشان کرد که Smoke Sandstorm - نام آن برای این گروه - حساب‌های ایمیل یک ادغام‌کننده فناوری اطلاعات مستقر در بحرین را در سال 2021 به خطر انداخته است، احتمالاً راهی برای دسترسی به مشتریان دولتی این شرکت. مایکروسافت برخی از عملیات فیشینگ نیزه ای گروه را مختل کرد مه 2022.

در حالی که گروه Tortoiseshell - که توسط Google با نام UNC1549 و توسط CrowdStrike Imperial Kitten نیز شناخته می‌شود - همچنان بر ارائه‌دهندگان خدمات فناوری اطلاعات تمرکز می‌کند، این گروه هم‌اکنون حملات پرخطر و فیشینگ نیزه‌ای را به‌عنوان تاکتیک‌های اولیه آلودگی اولیه خود انجام می‌دهد.

با این حال، گروه تهدید از آن زمان مجدداً گروه بندی شده است و از فوریه 2024 شرکت های هوافضا، هوانوردی و دفاعی در اسرائیل و امارات را هدف قرار داده است. گوگل در تحلیل خود اعلام کرد. این گروه همچنین ممکن است با حملات سایبری به صنایع مشابه در آلبانی، هند و ترکیه مرتبط باشد.

گوگل نوشت: «اطلاعات جمع‌آوری‌شده در مورد این نهادها با منافع استراتژیک ایران مرتبط است و ممکن است برای جاسوسی و همچنین عملیات جنبشی مورد استفاده قرار گیرد.» این امر بیشتر توسط روابط بالقوه بین UNC1549 و سپاه ایران پشتیبانی می‌شود.»

پیام‌های فیشینگ نیزه‌ای پیوندهایی را به وب‌سایت‌هایی ارسال می‌کنند که به نظر می‌رسد یا یک سایت شغلی هستند - به طور خاص بر موقعیت‌های مرتبط با فناوری و دفاع تمرکز دارند - یا بخشی از جنبش «اکنون آنها را به خانه بیاورید» که خواستار بازگشت گروگان‌های اسرائیلی هستند.

زنجیره حمله در نهایت منجر به دانلود یکی از دو درب پشتی منحصر به فرد به سیستم قربانی می شود. MINIBIKE یک برنامه ++C است که به عنوان یک درب پشتی طراحی شده است که امکان استخراج یا آپلود داده ها و همچنین اجرای دستور را فراهم می کند. به گفته گوگل، MINIBUS، نوع جدیدتر آن، دارای انعطاف پذیری بیشتر و "ویژگی های شناسایی پیشرفته" است.

حملات سایبری سفارشی شده

به نظر می رسد گروه UNC1549 شناسایی و آماده سازی قابل توجهی را قبل از حملات انجام می دهد، از جمله رزرو نام های دامنه ای که با گروه هدف مطابقت دارند. Leathery می‌گوید به دلیل سطح محتوای سفارشی ایجاد شده برای هر شرکت هدف، تخمین تعداد کل سازمان‌های هدف دشوار است.

او می‌گوید: «داده‌ها نشان می‌دهند که آن‌ها اهداف خاصی را شناسایی می‌کنند [و] احتمالاً استراتژی خود را در اطراف هدف شکل می‌دهند – برای مثال، دامنه‌هایی را ثبت می‌کنند که مستقیماً به یک هدف خاص مرتبط هستند». "در بسیاری از موارد آنها حاوی محتوای فریبنده ای هستند که باید از اطلاعات قانونی در دسترس عموم ایجاد یا تحقیق شوند [یا] تغییر کاربری داده شوند."

Google Cloud's Mandiant این انتساب را به عنوان اطمینان "متوسط" ارزیابی کرد، به این معنی که محققان تهدید معتقدند که به احتمال زیاد این فعالیت توسط گروه UNC1549 انجام شده است.

او می‌گوید: «ما فکر می‌کنیم به احتمال زیاد UNC1549 آن را انجام داده است، اما شواهد کافی برای رد این موضوع وجود ندارد که ممکن است گروه دیگری بوده باشد. با این حال، حتی در این شرایط بعید، ما فکر می‌کنیم که این گروه صرفاً یک گروه متفاوت است که در حمایت از آن فعالیت می‌کند حکومت ایران"

مراقب پیوندهای ایمیل و نشان دادن مشکوک باشید

گوگل در تجزیه و تحلیل تکنیکی خود، شاخص‌های خاصی از سازش (IOC) را برای بدافزار MINIBIKE، از جمله استفاده از چهار دامنه Azure برای فرمان و کنترل، کلید رجیستری OneDrive برای حفظ پایداری، و چرخه‌ی ارتباطات بیکن بر روی سه نام فایل با تقلید از مؤلفه‌های وب، شرح می‌دهد. .

MINIBUS جدیدتر، در عین حال، جمع و جورتر و انعطاف پذیرتر است. گوگل تعدادی از نام‌های فایل DLL را فهرست می‌کند و هشدار می‌دهد که بدافزار سعی می‌کند تشخیص دهد که آیا روی یک ماشین مجازی اجرا می‌شود یا خیر.

به گفته گوگل، با اتکای UNC1549 به تحقیق در مورد اهداف و فیشینگ نیزه ای سفارشی، شرکت ها باید پیوندهای نامعتبر را در ایمیل ها مسدود کنند و به آموزش های آگاهی بخشی روی آورند تا کارمندان خود را در مورد آخرین روش های فیشینگ به روز نگه دارند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cyberattacks-data-breaches/illusive-iranian-hacking-group-ensnares-israeli-uae-aerospace-and-defense-firms