گروه ایرانی TA450 تاکتیکهای جدیدی را علیه اسرائیلیها امتحان میکند
اخبار داغ فناوری اطلاعات و امنیت شبکه
به گفته محققان شرکت امنیتی پروف پوینت، مهاجمان گروه سایبری ایرانی TA450 که MuddyWater نیز نامیده میشود، از ایمیلهای جعلی حقوق، غرامت و انگیزه مالی برای فریب کارمندان اسرائیلی در سازمانهای چندملیتی برای کلیک کردن روی لینکهای مخرب استفاده میکند.
گروه TA450، یک گروه جاسوسی سایبریست که با نامهای MuddyWater، Mercury و Static Kitten نیز شناخته میشود و قربانیان را در شرکتهای تولیدی، فناوری و امنیت اطلاعات جهانی با فریبهای مهندسی اجتماعی (Social Engineering) مرتبط با حقوق جذب میکند. Proofpoint روز پنجشنبه گفت این کمپین ادامه حملات علیه سازمانهای اسرائیلی از زمان آغاز جنگ اسرائیل و حماس در اکتبر سال ٢٠٢٣ است.
مجموعه Proofpoint در ادعاهای خود گفت که TA450 ارائهدهندگان فناوری منطقهای را هدف قرار میدهد تا از طریق حملات زنجیره تامین علیه ارائهدهندگان خدمات مدیریت شده منطقهای آسیبپذیر، به کاربران پایین دستی در شرکتهای کوچک تا متوسط دسترسی پیدا کند.
کمپین فیشینگ از ٧ مارس آغاز شد و تا ١١ مارس ادامه داشت. TA450 ایمیلهایی حاوی پیوستهای PDF با لینکهای مخرب ارسال کرده اشت. اگرچه این تاکتیک برای TA450 جدید نیست، مشاهدات اخیر نشان داد که این گروه ترجیح میدهند لینکهای مخرب را مستقیما در بدنه ایمیلها قرار دهند.
پیوستهای PDF دارای لینک های تعبیهشده کمی متفاوت هستند که به سایتهای اشتراکگذاری فایل مانند Egnyte، Onehub، Sync و TeraBox منتهی میشوند. پروف پوینت گفت که ایمیلها از حسابهای فرستنده. IL احتمالا در معرض خطر قرارگرفتهاند، که مطابق با فعالیتهای اخیر TA450 است.
دسترسی اولیه یک آرشیو ZIP حاوی یک فایل فشرده MSI را دانلود میکند، که AteraAgent که یک نرمافزار مدیریت راه دور است که معمولا توسط TA450 مورد سواستفاده قرار میگیرد را نصب میکند.
ایمیلهای یک آدرس ایمیل در معرض خطر در یک شرکت خدمات مالی متوسط شامل لینکی به ارائهدهنده میزبانی ابری Onehub بود. این لینک، قربانی را به یک آرشیو ZIP هدایت میکند که حاوی یک فایل اجرایی نصب کننده ظاهرا قانونی برای ابزار مدیریت از راه دور Syncro است.
محققان Proofpoint در ادامه ادعاهای خود گفتند: "در حالی که Syncro یک ابزار قانونی مدیریت از راه دور است که در مشاغل مورد استفاده قرار میگیرد، در این زمینه، پس از نصب بر روی میزبان هدف، عوامل تهدید میتوانند از ابزار مدیریت راه دور مانند یک تروجان دسترسی از راه دور استفاده کنند و فعالیتهای نفوذ اضافی را انجام دهند، که احتمالا از طریق هر دو روش ابزارهای بومی و بدافزارهای اختصاصی انجام میپذیرد. "
این گروه قبلا از DLLهای بارگذاری جانبی (side-loading) جهت فریب برنامههای قانونی برای اجرای بدافزارها و مخفی کردن اسکریپتهای PowerShell برای مخفیسازی فانکشنهای Command-and-Control استفاده میکرد.
محققان Proofpoint بر اساس تجزیهوتحلیل تاکتیکها، تکنیکها و رویههای گروه و همچنین الگوهای هدفگیری و بدافزارهای مورد استفاده، این کمپین را به TA450 نسبت میدهند.
فرماندهی سایبری ایالات متحده در ادعاهایی میگوید این گروه APT که از سال ٢٠١٧ فعال است، با وزارت اطلاعات و امنیت جمهوری اسلامی مرتبط بوده و همچنین میافزادی که گروه TA450 با کمپینهای جاسوسی علیه اهداف با ارزشی در آمریکای شمالی، اروپا و آسیا نیز مرتبط است.
آخرین کمپین تاکتیکهای در حال تحول TA450 را نشان میدهد. اگرچه اولین مورد استفاده از پیوستها با لینکهای مخرب نبود، اما اولینباری بود که این گروه سعی در ارائه URL مخرب در یک فایل PDF داشت.
همچنین، یکی از محققان Proofpoint گفته است که: "برای Proofpoint اولینبار است که کمپین گروه TA450 را با استفاده از یک حساب ایمیل فرستنده که با محتوای فریبنده مطابقت دارد، مشاهده میکند".
برچسب ها: Onehub, TeraBox, Egnyte, side-loading, AteraAgent, TA450, Cyberspy, Cyber Attack, Cyberspionage, Syncro, Sync, MERCURY, Static Kitten, MuddyWater, PDF, Iran, PowerShell, URL, cybersecurity, Social Engineering, مهندسی اجتماعی, israel, phishing, جاسوسی سایبری, فیشینگ, امنیت سایبری, جنگ سایبری, حریم خصوصی, حمله سایبری, news