IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

‌
طبق مشاهدات و ادعاها، عوامل تهدید تحت حمایت دولت جمهوری اسلامی ایران در حال سازماندهی کمپین‌های فیشینگ هدفمند (Spear Phishing) با هدف قرار دادن یک شخصیت برجسته یهودی از اواخر جولای ٢٠٢٤ در راستای ارائه بدافزار ابزار جمع‌آوری اطلاعات جدید به نام AnvilEcho هستند.
‌
شرکت امنیتی Proofpoint که این گروه و فعالیت را تحت نام TA453 رد‌یابی می‌کند که با فعالیت‌های رد‌یابی شده که با نامگذاری جامعه امنیت سایبری گسترده‌تری تحت نام‌های APT42 (توسط Mandiant)، Charming Kitten (توسط CrowdStrike)، Damselfly (توسط Symantec)، Mint Sandstorm (توسط مایکروسافت) و Yellow Garuda (توسط PwC) همپوشانی دارد.
‌
جاشوا میلر، گئورگی ملادینوف، اندرو نورترن و گرگ لزنویچ، محققین امنیتی، می‌گویند: «این گروه در تعامل اولیه تلاش کرد تا هدف را فریب دهد تا با یک ایمیل ظاهرا بی‌خطر درگیر شود تا مکالمه و اعتماد اولیه را ایجاد کند و سپس روی لینک مخرب بعدی کلیک کند».
‌
آنها افزودند: «در زنجیره حمله تلاش شد تا یک ابزار بدافزار جدید به نام BlackSmith ارائه شود که یک تروجان PowerShell با نام AnvilEcho را ارائه کرد».
‌
بنابر ادعا‌های پروفپرینت گفته می‌شود که گروه TA453 وابسته به سپاه پاسداران انقلاب اسلامی است و کمپین‌های فیشینگ هدفمند را که برای حمایت از اولویت‌های سیاسی و نظامی جمهوری اسلامی طراحی شده‌اند، انجام می‌دهد. داده‌هایی که هفته گذشته توسط Mandiant متعلق به گوگل به اشتراک گذاشته شد نشان می‌دهد که ایالات متحده و اسرائیل تقریبا ٦٠ درصد از هدف‌گیری جغرافیایی شناخته شده APT42 را به خود اختصاص داده‌اند و پس از آن ایران و بریتانیا قرار دارند.
‌
تلاش‌ها در جهت مهندسی اجتماعی (Social Engineering) هم مداوم و هم متقاعدکننده هستند و در قالب نهاد‌های قانونی و روزنامه‌نگاران ظاهر می‌شوند تا گفتگو با قربانیان احتمالی را آغاز کنند و در طول زمان رابطه برقرار کنند، و آنها را در دام‌های فیشینگ، از طریق اسناد آلوده به بدافزار یا صفحات جمع‌آوری اعتبار جعلی گرفتار کنند.
‌
گوگل نیز در ادعا‌هایی گفت: «APT42 هدف خود را با یک فریب مهندسی اجتماعی درگیر می‌کند تا یک جلسه ویدیویی راه‌اندازی کند و سپس به صفحه لندینگ لینک می‌شود که در آن از هدف خواسته می‌شود تا لاگین کند و مستقیما به صفحه فیشینگ وارد می‌شود».
‌
گوگل افزود: «یکی دیگر از الگو‌های کمپین APT42 ارسال پیوست‌های PDF قانونی به عنوان بخشی از یک فریب مهندسی اجتماعی برای ایجاد اعتماد و تشویق هدف به تعامل در پلتفرم‌های دیگر مانند سیگنال، تلگرام یا واتس اپ است».
‌
آخرین مجموعه حملات، که به ادعای Proofpoint از ٢٢ ژوئیه ٢٠٢٤ شروع شد، شامل این بود که عامل تهدید با چندین آدرس ایمیل با یک شخصیت یهودی ناشناس تماس گرفت و با جعل هویت مدیر تحقیقات موسسه مطالعات جنگ (ISW)، از آنها دعوت کرد تا مهمان یک پادکست باشند.
‌
در پاسخ به پیامی از طرف هدف، TA453 یک URL DocSend محافظت شده با رمز عبور ارسال کرده است که به نوبه خود منجر به انتقال یک فایل متنی حاوی URL برای دسترسی به پادکست به ظاهر قانونی میزبانی شده توسط ISW می‌شود. پیام‌های ساختگی از دامنه understandingthewar[.]org که تلاشی واضح برای تقلید از وب‌سایت اصلی ISW ("understandingwar[.]org") بوده، ارسال شده است.
‌
پروفپوینت گفت: «احتمالا TA453 سعی می‌کرد هدف را با کلیک کردن روی لینک و وارد کردن رمز عبور عادی‌سازی کند تا هدف هنگام ارسال بدافزار، همین کار را انجام دهد».
‌
در پیام‌های بعدی، عامل تهدید در حال پاسخگویی با یک URL Google Drive میزبان آرشیو ZIP ("Podcast Plan-2024.zip") بود که به نوبه خود حاوی یک فایل میانبر ویندوز (LNK) بود که عامل ارائه مجموعه ابزار BlackSmith بود.
‌
بدافزار AnvilEcho، که توسط BlackSmith ارائه می‌شود، به عنوان جانشین احتمالی ایمپلنت‌های PowerShell شناخته شده با عناوین CharmPower، GorjolEcho، POWERSTAR و PowerLess توصیف شده است. BlackSmith همچنین برای نمایش یک سند فریب به عنوان مکانیزمی در راستای حواس‌پرتی مخاطب طراحی شده است.
لازم به ذکر است که نام "BlackSmith" همچنین با یک کامپوننت سرقت کننده مرورگر است که در اوایل امسال توسط Volexity در ارتباط با کمپینی که BASICSTAR را در حملاتی با هدفگیری افراد برجسته‌ای که در امور خاورمیانه کار می‌کنند، توزیع می‌کرد، همپوشانی دارد.
‌
پروفپرینت گفت: «AnvilEcho یک تروجان PowerShell است که دارای عملکرد‌های گسترده‌ای است. قابلیت‌های AnvilEcho نشان‌دهنده تمرکز واضح بر جمع‌آوری اطلاعات و نفوذ است».
‌
برخی از عملکرد‌های مهم آن شامل انجام شناسایی سیستم، گرفتن اسکرین شات، دانلود فایل‌های راه دور و آپلود داده‌های حساس از طریق FTP و Dropbox است.
‌
جاشوا میلر، محقق پروف پوینت، در ادعا‌های خود گفت: «کمپین‌های فیشینگ TA453 به طور مداوم اولویت‌های اطلاعاتی سپاه پاسداران انقلاب اسلامی را منعکس کرده است».
‌
وی افزود: «این استقرار بدافزار در تلاش برای هدف قرار دادن یک شخصیت برجسته یهودی احتمالا از تلاش‌های سایبری مداوم جمهوری اسلامی علیه منافع اسرائیل حمایت می‌کند. TA453 به طور جدی به عنوان یک تهدید دائمی علیه سیاستمداران، مدافعان حقوق بشر، مخالفان و دانشگاهیان رشد کرده است».
‌
این یافته‌ها و ادعا‌ها چند روز پس از افشای یک بدافزار جدید مبتنی بر Go به نام Cyclops توسط HarfangLab به دست آمد که احتمالا به عنوان دنباله‌ای از یک Backdoor دیگر Charming Kitten با نام رمز BellaCiao ساخته شده است، که نشان می‌دهد مهاجمان به طور فعال در حال بازسازی تسلیحات سایبری خود در پاسخ به افشای عمومی آن هستند. زمان عرضه نمونه‌های اولیه این بدافزار به دسامبر ٢٠٢٣ باز می‌گردد.
‌
این شرکت امنیت سایبری فرانسوی گفت: «هدف آن تونل معکوس (Reverse Tunneling) یک REST API به سرور Command-and-Control (C2) خود در راستای کنترل دستگاه‌های هدف است. این امر به اپراتور‌ها اجازه می‌دهد تا دستورات دلخواه را اجرا کنند، سیستم فایل هدف را دستکاری کنند و از دستگاه آلوده برای نفوذ به شبکه استفاده کنند».
‌
اعتقاد بر این است که عوامل تهدید از Cyclops برای شناسایی یک سازمان غیرانتفاعی که از نوآوری و کارآفرینی در لبنان حمایت می‌کند و همچنین یک شرکت مخابراتی در افغانستان استفاده کردند. مسیر دقیق ورود مورد استفاده برای حملات در حال حاضر ناشناخته است.
‌
مجموعه HarfangLab گفت: «انتخاب زبان Go برای بدافزار Cyclops چند پیامد دارد. اول اینکه، محبوبیت این زبان در میان توسعه‌دهندگان بدافزار را تایید می‌کند. ثانیا، تعداد کم‌شناسایی اولیه برای این نمونه نشان می‌دهد که برنامه‌های مبتنی Go همچنان ممکن است چالشی برای راه‌حل‌های امنیتی باشد. و در‌نهایت، این امکان وجود دارد که انواع macOS و Linux بدافزار Cyclops نیز از همان پایگاه کد ایجاد شده باشند و ما هنوز آنها را پیدا نکرده باشیم».