محققان امنیت سایبری از Proofpoint اخیراً یک کمپین جاسوسی جدید را مشاهده کرده اند که در آن بازیگران تحت حمایت دولت ایران سعی کردند اعضای اتاق فکر غربی را با درهای پشتی هدف قرار دهند.
چیزی که این کمپین را خاص می کند این واقعیت است که مهاجمان هر دو نقطه پایانی مبتنی بر اپل و ویندوز را هدف قرار داده اند و در صورت نیاز به سرعت به سمت سیستم عامل مناسب می روند.
در گزارشی که در وبلاگ Proofpoint منتشر شد، محققان گفتند که چگونه گروهی را کشف کردند که به نام TA453 (همچنین با نامهای Charming Kitten، Mint Sandstorm یا APT42 شناخته میشود) که کارشناسان امنیت هستهای مستقر در ایالات متحده را با ایمیلهای فیشینگ هدف قرار میدادند. در این ایمیلها، مهاجمان هویت اساتید، متفکران و سایر روشنفکران شناختهشده در تحقیقات انرژی هستهای را در نظر میگیرند و از قربانی میخواهند که ارسال یک مقاله تحقیقاتی را تأیید کند.
در تصویری از یک ایمیل، که در گزارش به اشتراک گذاشته شده است، این گروه در حال جعل هویت پروفسور کارل رابرتز، همکار ارشد و معاون مدیر تروریسم و درگیری در RUSI (موسسه خدمات متحد سلطنتی) دیده می شود.
قربانیانی که با دریافت “کاغذ” موافقت می کنند، در واقع GorjolEcho را دریافت می کنند، که Proofpoint آن را به عنوان “درپشتی PowerShell تازه شناسایی شده” توصیف می کند. هنگامی که مهاجمان متوجه شدند قربانیان آنها از یک دستگاه مک استفاده می کنند، به سرعت چرخیدند و سعی کردند NokNok را توزیع کنند – یک “زنجیره عفونت با طعم اپل”.
Proofpoint استدلال می کند که NokNok قادر به واکشی چهار ماژول است که می تواند فرآیندهای در حال اجرا را جمع آوری کند، برنامه ها را نصب کند، ابرداده های سیستم را جمع آوری کند و به پایداری دست یابد. این ماژولها تقریباً مشابه ماژولهای موجود در CharmPower هستند، زیرا محققان کدهای همپوشانی بین این دو را پیدا کردند. در نهایت، این گروه در حال اشتراکگذاری یک وبسایت جعلی بود که به احتمال زیاد برای برداشت اثر انگشت قربانیان راهاندازی شده بود، اگرچه محققان نمیتوانستند 100٪ از این موضوع مطمئن باشند.
تحلیل: چرا مهم است؟
اگر ارزیابی های پروفپوینت درست باشد، TA453 تحت فرماندهی مستقیم سپاه پاسداران انقلاب اسلامی (سپاه پاسداران انقلاب اسلامی) و سازمان اطلاعات سپاه (IRGC-IO) است. در این مورد، TA453 یک بازیگر تحت حمایت دولتی است که از طرف دولت تهران کار می کند. از آنجایی که تهران در حال حاضر در حال مذاکره با قدرت های غربی بر سر توسعه تسلیحات و تاسیسات هسته ای خود است، این بدان معناست که ایران از همه ابزارهای موجود برای ایجاد موقعیت مناسب در مذاکره تا جایی که ممکن است استفاده می کند.
پروفپوینت میگوید: «در حالی که مذاکرات برنامه جامع اقدام مشترک (برجام) ادامه دارد و تهران به طور فزایندهای خود را در حوزه نفوذ خود منزوی مییابد، TA453 بیشتر تلاشهای هدفگیری خود را علیه کارشناسانی که احتمالاً این سیاستهای خارجی را اطلاعرسانی میکنند، متمرکز کرده است.
این گزارش همچنین چابکی Charming Kitten و اینکه چقدر سریع می تواند بین ویندوز و مک جابجا شود را نشان می دهد. بد افزار، در جستجوی اطلاعات ارزشمند علاوه بر این، در این حمله، این گروه از هویتهای چندگانه محققین شناختهشده هستهای استفاده کرد تا اعتباری را به کل کمپین اضافه کند. این هشدارهای اخیر کارشناسان امنیت سایبری را تقویت می کند که حتی به زنجیره های ایمیلی که افراد متعددی در آن دخیل هستند، همیشه نباید اعتماد کرد.
TA453 یک عامل تهدید شناخته شده است که حداقل از سال 2017 و احتمالاً قبل از آن نیز فعال بوده است. Proofpoint سالهاست که آن را دنبال میکند و به این نتیجه رسیده است که این گروه بیشتر دانشگاهیان، محققان، دیپلماتها، مخالفان، روزنامهنگاران و کارکنان حقوق بشر را هدف قرار میدهد. MO آن معمولاً قبل از اینکه بخواهد اعتبار هدف خود را بدزدد، شامل بیکن های وب در بدنه های پیام می شود. معمولاً مهاجمان قبل از اینکه بخواهند در هر بدافزاری از بین بروند، هفتهها با قربانیان خود گفتگوهای خوشخیم انجام میدهند.
اما این گروه فقط رایانه های مردم را هدف قرار نمی دهد. ظاهراً سال گذشته تلاش کرده بود عدهای را در فضای باز فریب دهد تا آنها را ربود. بیشتر اهداف آن در جهان غرب است و برخی نیز اسرائیلی هستند.
دیگران در مورد کمپین چه گفته اند؟
در نوشته خود در مورد داستان، اخبار امنیت سایبری تاکید کرد که عامل تهدید تا چه حد مایل است برای جلوگیری از شناسایی شدن پیش برود و چه کاری می تواند انجام دهد تا اختلالات محققان تهدید را محدود کند.
این نشریه میگوید: «برای فرار از تلاشهای شناسایی و انجام عملیاتهای جاسوسی سایبری علیه هدف مورد نظر خود، TA453 به اصلاح چشمگیر زنجیرههای عفونت خود ادامه میدهد.» بهکارگیری Google Scripts، Dropbox و CleverApps نشان میدهد که TA453 همچنان به یک استراتژی چند ابری در تلاشهای خود برای محدود کردن اختلالات شکارچیان تهدید ادامه میدهد.
TechCentralاز سوی دیگر، بر چابکی بازیگران تهدید و همچنین این واقعیت که دستگاه های مجهز به Mac به طور فزاینده ای مورد هدف قرار می گیرند، تمرکز داشت.
در این نشریه آمده است: «این حادثه به عنوان یادآوری سازگاری بازیگران تهدیدکننده است. در این مثال، فایلهای LNK بهجای اسناد مایکروسافت ورد با ماکرو ارسال میشوند و در فرصتی که پیش میآمد، به سرعت به macOS منتقل میشوند.»
در مورد اپل، این گزارش بیان میکند که مکها به تدریج در شرکت محبوبتر میشوند. از این رو، آنها «به ترتیب بیشتر هدفی برای بازیگران تهدید شدند».
جاشوا میلر، محقق ارشد تهدید در Proofpoint، در گفتگو با SC Media، گفت که به نظر می رسد این کمپین “بسیار هدفمند” است، زیرا بیش از 10 نفر شناسایی نشده اند که ایمیل های فیشینگ از این گروه دریافت کرده اند. میلر همچنین اضافه کرد که هیچ کس واقعاً به خطر نیفتاده است.
عمیق تر برو
اگر میخواهید اطلاعات بیشتری کسب کنید، حتماً راهنمای عمیق ما را بخوانید فیشینگ چیست، همچنین هر آنچه باید در مورد فیشینگ بدانید. شما باید راهنمای ما را نیز بررسی کنید بهترین محافظت در برابر سرقت شناسه، همچنین بهترین برنامه های آنتی ویروس رایگان.
آخرین دیدگاهها