IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

افشای زیرساخت‌های پنهان گروه سایبری ایرانی Fox Kitten

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir hidden infrastructure iranian fox kitten group 1
مجموعه Censys زیرساخت‌های پنهان Fox Kitten، که یک گروه جاسوسی سایبری ایرانی است را کشف کرده است. این مجموعه، الگو‌های منحصر‌به فرد، IOC‌های جدید بالقوه و توصیه‌های عملی برای محافظت از سازمان‌ها در برابر حملات Fox Kitten را بررسی و اعلام نموده است.

مجموعه Censys، یک پلتفرم مدیریت سطح حمله و شناسایی تهدید است و در ادعا‌هایی، جزئیات جدیدی در مورد زیرساخت‌های گروه جاسوسی سایبری ایرانی به نام Fox Kitten با استفاده از داده‌های یک مشاور امنیت سایبری مشترک (CSA) توسط FBI، CISA و DC3 منتشر کرده است. Censys تعداد قابل‌توجهی هاست‌های اضافی را شناسایی نموده که احتمالا به زیرساخت Fox Kitten تعلق دارند و دامنه تهدید را گسترش می‌دهد.
 
شرکت Censys در گزارش خود که در روز چهارشنبه منتشر شد، در ادعا‌های خود، الگو‌های منحصربه‌فرد و شاخص‌های بالقوه جدید سطح خطرات مورد استفاده توسط Fox Kitten را که به دلیل هدف قرار دادن سازمان‌ها در سراسر جهان شناخته شده است، نشان داد.
 
با استفاده از این الگو‌ها، Censys توانست میزبان‌های فعال که قبلا کشف نشده بودند را پیدا کند که دارای الگو‌های منطبق و سیستم‌های مستقل (AS) مانند هاست‌های D، E و G هستند، که می‌توانند بخشی از زیرساخت مشابه باشند و ممکن است در حملات آینده مورد استفاده قرار گیرند. IOC‌های دامنه منطبق برای شناسایی میزبان G و AS‌های منطبق برای شناسایی میزبان‌های J & C مورد استفاده قرار گرفتند.
 
داده‌ها با استفاده از تکنیک‌هایی مانند پروفایل میزبان، تشخیص الگو، تحلیل لینک‌ها و بررسی تاریخی تجزیه و تحلیل شدند. پروفایل میزبان شامل تجزیه و تحلیل ویژگی‌های میزبان فردی است، تشخیص الگو نیز الگو‌های تکرار شونده را شناسایی می‌کند، تجزیه و تحلیل لینک، روابط بین عناصر زیرساخت را بررسی می‌کند و تجزیه و تحلیل تاریخی داده‌های فعلی را با سوابق تاریخی برای شناسایی ترند‌ها مقایسه می‌کند.
 
بررسی‌های بیشتر نشان داده است که مهاجمان از تکنیک‌های مختلفی برای مبهم کردن زیرساخت‌های خود، مانند استفاده از آدرس‌های IP دینامیک، توزیع زیرساخت در چندین سیستم مستقل (ASN)، و استفاده از نام‌های گواهی گمراه‌کننده برای پنهان کردن فعالیت‌های مخرب، بهره برده‌اند.
 
مجموعه Censys دو IOC دامنه (api. gupdate[.]net و githubapp[.]net) را در IP‌های فعالی که در CSA فهرست نشده‌اند پیدا کرد. برخی از IOC‌های دامنه در IP‌های Fox Kitten قبل یا بعد از تایم‌فریم CSA یافت شدند. همه IOC‌های دامنه در ٦٤ گواهی معتبر یافت شدند که نیاز به نظارت بیشتر دارند.
 takian.ir hidden infrastructure iranian fox kitten group 2
تحقیقات بیشتر نقاط مشترکی مانند موقعیت جغرافیایی در لندن، استکهلم، فرانکفورت، تل آویو، و لس آنجلس، اعداد سیستم‌های مستقل مشترک (AS)، الگو‌های منحصربه‌فرد در میزبان‌های D، E، و G، مغایرت‌های بازه زمانی در برخی میزبان‌های خارج از بازه زمانی CSA و 38862 میزبان بالقوه مخرب اضافی با ویژگی‌های مشابه را نشان داد. این یافته‌ها طرحی شبیه به هانی‌پات (Honeypot) و ارتباط بالقوه بین میزبان‌ها را نشان می‌دهد.
 
مجموعه Censys با بررسی عمیق‌تر زیرساخت‌های Fox Kitten، بینش‌های ارزش‌مندی در مورد عملیات و تاکتیک‌های گروه ارائه کرده است. این الگو‌ها و اشتراکات را می‌توان برای شناسایی سایر میزبان‌ها و گواهینامه‌های فعال که ممکن است بخشی از همان زیرساخت Fox Kitten باشند، استفاده کرد.
 
مدافعان حوزه امنیت می‌توانند از IOC‌ها و پریود‌های شناخته شده فعالیت‌های مخرب برای مطالعه پروفایل‌های میزبان و گواهی قبل، در حین و پس از حملات گزارش شده استفاده کنند، جستجو‌های پویا را در مجموعه داده‌های اسکن عمومی انجام دهند تا مشاهده کنند که چگونه تهدید‌ها می‌توانند زیرساخت جدیدی ایجاد کنند، و اهمیت این موضوع را درک کنند که باید جلو‌تر از عوامل تهدید حرکت کنند.

برچسب ها: فاکس کیتن, Fox Kitten, هانی‌پات‌, Honeypot, Host, Iran, certificate, IP, cybersecurity, ایران, جاسوسی سایبری, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news

چاپ ایمیل