این کمپین بدافزار جدید مک کارشناسان هسته ای را هدف قرار می دهد

محققان امنیت سایبری از Proofpoint اخیراً یک کمپین جاسوسی جدید را مشاهده کرده اند که در آن بازیگران تحت حمایت دولت ایران سعی کردند اعضای اتاق فکر غربی را با درهای پشتی هدف قرار دهند.

چیزی که این کمپین را خاص می کند این واقعیت است که مهاجمان هر دو نقطه پایانی مبتنی بر اپل و ویندوز را هدف قرار داده اند و در صورت نیاز به سرعت به سمت سیستم عامل مناسب می روند.

در گزارشی که در وبلاگ Proofpoint منتشر شد، محققان گفتند که چگونه گروهی را کشف کردند که به نام TA453 (همچنین با نام‌های Charming Kitten، Mint Sandstorm یا APT42 شناخته می‌شود) که کارشناسان امنیت هسته‌ای مستقر در ایالات متحده را با ایمیل‌های فیشینگ هدف قرار می‌دادند. در این ایمیل‌ها، مهاجمان هویت اساتید، متفکران و سایر روشنفکران شناخته‌شده در تحقیقات انرژی هسته‌ای را در نظر می‌گیرند و از قربانی می‌خواهند که ارسال یک مقاله تحقیقاتی را تأیید کند.

در تصویری از یک ایمیل، که در گزارش به اشتراک گذاشته شده است، این گروه در حال جعل هویت پروفسور کارل رابرتز، همکار ارشد و معاون مدیر تروریسم و ​​درگیری در RUSI (موسسه خدمات متحد سلطنتی) دیده می شود.

قربانیانی که با دریافت “کاغذ” موافقت می کنند، در واقع GorjolEcho را دریافت می کنند، که Proofpoint آن را به عنوان “درپشتی PowerShell تازه شناسایی شده” توصیف می کند. هنگامی که مهاجمان متوجه شدند قربانیان آنها از یک دستگاه مک استفاده می کنند، به سرعت چرخیدند و سعی کردند NokNok را توزیع کنند – یک “زنجیره عفونت با طعم اپل”.

Proofpoint استدلال می کند که NokNok قادر به واکشی چهار ماژول است که می تواند فرآیندهای در حال اجرا را جمع آوری کند، برنامه ها را نصب کند، ابرداده های سیستم را جمع آوری کند و به پایداری دست یابد. این ماژول‌ها تقریباً مشابه ماژول‌های موجود در CharmPower هستند، زیرا محققان کدهای همپوشانی بین این دو را پیدا کردند. در نهایت، این گروه در حال اشتراک‌گذاری یک وب‌سایت جعلی بود که به احتمال زیاد برای برداشت اثر انگشت قربانیان راه‌اندازی شده بود، اگرچه محققان نمی‌توانستند 100٪ از این موضوع مطمئن باشند.

تحلیل: چرا مهم است؟

اگر ارزیابی های پروفپوینت درست باشد، TA453 تحت فرماندهی مستقیم سپاه پاسداران انقلاب اسلامی (سپاه پاسداران انقلاب اسلامی) و سازمان اطلاعات سپاه (IRGC-IO) است. در این مورد، TA453 یک بازیگر تحت حمایت دولتی است که از طرف دولت تهران کار می کند. از آنجایی که تهران در حال حاضر در حال مذاکره با قدرت های غربی بر سر توسعه تسلیحات و تاسیسات هسته ای خود است، این بدان معناست که ایران از همه ابزارهای موجود برای ایجاد موقعیت مناسب در مذاکره تا جایی که ممکن است استفاده می کند.

پروفپوینت می‌گوید: «در حالی که مذاکرات برنامه جامع اقدام مشترک (برجام) ادامه دارد و تهران به طور فزاینده‌ای خود را در حوزه نفوذ خود منزوی می‌یابد، TA453 بیشتر تلاش‌های هدف‌گیری خود را علیه کارشناسانی که احتمالاً این سیاست‌های خارجی را اطلاع‌رسانی می‌کنند، متمرکز کرده است.

این گزارش همچنین چابکی Charming Kitten و اینکه چقدر سریع می تواند بین ویندوز و مک جابجا شود را نشان می دهد. بد افزار، در جستجوی اطلاعات ارزشمند علاوه بر این، در این حمله، این گروه از هویت‌های چندگانه محققین شناخته‌شده هسته‌ای استفاده کرد تا اعتباری را به کل کمپین اضافه کند. این هشدارهای اخیر کارشناسان امنیت سایبری را تقویت می کند که حتی به زنجیره های ایمیلی که افراد متعددی در آن دخیل هستند، همیشه نباید اعتماد کرد.

TA453 یک عامل تهدید شناخته شده است که حداقل از سال 2017 و احتمالاً قبل از آن نیز فعال بوده است. Proofpoint سال‌هاست که آن را دنبال می‌کند و به این نتیجه رسیده است که این گروه بیشتر دانشگاهیان، محققان، دیپلمات‌ها، مخالفان، روزنامه‌نگاران و کارکنان حقوق بشر را هدف قرار می‌دهد. MO آن معمولاً قبل از اینکه بخواهد اعتبار هدف خود را بدزدد، شامل بیکن های وب در بدنه های پیام می شود. معمولاً مهاجمان قبل از اینکه بخواهند در هر بدافزاری از بین بروند، هفته‌ها با قربانیان خود گفتگوهای خوش‌خیم انجام می‌دهند.

اما این گروه فقط رایانه های مردم را هدف قرار نمی دهد. ظاهراً سال گذشته تلاش کرده بود عده‌ای را در فضای باز فریب دهد تا آنها را ربود. بیشتر اهداف آن در جهان غرب است و برخی نیز اسرائیلی هستند.

دیگران در مورد کمپین چه گفته اند؟

در نوشته خود در مورد داستان، اخبار امنیت سایبری تاکید کرد که عامل تهدید تا چه حد مایل است برای جلوگیری از شناسایی شدن پیش برود و چه کاری می تواند انجام دهد تا اختلالات محققان تهدید را محدود کند.

این نشریه می‌گوید: «برای فرار از تلاش‌های شناسایی و انجام عملیات‌های جاسوسی سایبری علیه هدف مورد نظر خود، TA453 به اصلاح چشمگیر زنجیره‌های عفونت خود ادامه می‌دهد.» به‌کارگیری Google Scripts، Dropbox و CleverApps نشان می‌دهد که TA453 همچنان به یک استراتژی چند ابری در تلاش‌های خود برای محدود کردن اختلالات شکارچیان تهدید ادامه می‌دهد.

TechCentralاز سوی دیگر، بر چابکی بازیگران تهدید و همچنین این واقعیت که دستگاه های مجهز به Mac به طور فزاینده ای مورد هدف قرار می گیرند، تمرکز داشت.

در این نشریه آمده است: «این حادثه به عنوان یادآوری سازگاری بازیگران تهدیدکننده است. در این مثال، فایل‌های LNK به‌جای اسناد مایکروسافت ورد با ماکرو ارسال می‌شوند و در فرصتی که پیش می‌آمد، به سرعت به macOS منتقل می‌شوند.»

در مورد اپل، این گزارش بیان می‌کند که مک‌ها به تدریج در شرکت محبوب‌تر می‌شوند. از این رو، آنها «به ترتیب بیشتر هدفی برای بازیگران تهدید شدند».

جاشوا میلر، محقق ارشد تهدید در Proofpoint، در گفتگو با SC Media، گفت که به نظر می رسد این کمپین “بسیار هدفمند” است، زیرا بیش از 10 نفر شناسایی نشده اند که ایمیل های فیشینگ از این گروه دریافت کرده اند. میلر همچنین اضافه کرد که هیچ کس واقعاً به خطر نیفتاده است.

عمیق تر برو

اگر می‌خواهید اطلاعات بیشتری کسب کنید، حتماً راهنمای عمیق ما را بخوانید فیشینگ چیست، همچنین هر آنچه باید در مورد فیشینگ بدانید. شما باید راهنمای ما را نیز بررسی کنید بهترین محافظت در برابر سرقت شناسه، همچنین بهترین برنامه های آنتی ویروس رایگان.