IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

استفاده هکر‌های ایرانی از نرم‌افزار پشتیبانی ریموت SimpleHelp برای دسترسی مداوم به قربانیان

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir iranian hackers using simplehelp remote 1
‌گروه تهدیدات سایبری ایرانی معروف به MuddyWater به سنت و شیوه همیشگی آزمایش شده خود در تکیه بر ابزار‌های قانونی مدیریت از راه دور برای مدیریت سیستم‌های هدف و قربانی‌ها ادامه می‌دهد.

بنا بر ادعا‌ها، در‌حالی‌که این گروه دولت-ملت قبلا از ScreenConnect، RemoteUtilities و Syncro استفاده کرده است، یک تحلیل جدید که توسط Group-IB انجام شده، استفاده این گروه از نرم‌افزار پشتیبانی از راه دور SimpleHelp در ژوئن ٢٠٢٢ را نشان می‌دهد.

به نقل از این گزارش، گروه MuddyWater که حداقل از سال ٢٠١٧ فعال است، به‌عنوان یک عنصر زیرمجموعه در وزارت اطلاعات و امنیت جمهوری اسلامی (MOIS) ارزیابی می‌شود. برخی از اهداف اصلی این گروه عبارتند از ترکیه، پاکستان، امارات متحده عربی، عراق، اسرائیل، عربستان سعودی، اردن، ایالات متحده آمریکا، آذربایجان و افغانستان.

نیکیتا روستوفتسف، تحلیلگر ارشد تهدید در Group-IB در ادعایی گفت : "MuddyWater از SimpleHelp، که یک ابزار قانونی کنترل و مدیریت دستگاه از راه دور است، برای اطمینان از پایداری خود در دستگاه‌های قربانی استفاده می‌کند. "

وی افزود : "SimpleHelp به خطر نیفتاده و همانطور که بوده و طراحی شده، استفاده می‌شود. اما عوامل تهدید راهی برای دانلود ابزار از وب‌سایت رسمی و استفاده از آن در حملات خود پیدا کردند. "

takian.ir iranian hackers using simplehelp remote 2
‌روش توزیع دقیق مورد استفاده برای حذف نمونه‌های SimpleHelp در حال حاضر نامشخص است، اگرچه این گروه به ارسال پیام‌های spear-phishing حاوی لینک‌های مخرب از میل‌باکس‌های شرکت‌هایی که از قبل در معرض خطر هستند، اقدام می‌نماید.

طبق گفته‌ها و شنیده‌ها، یافته‌های Group-IB توسط شرکت امنیت سایبری اسلواکی ESET در اوایل ژانویه تایید شده، و جزئیات حملات MuddyWater در مصر و عربستان سعودی را که مستلزم استفاده از SimpleHelp برای استقرار ابزار تونلینگ معکوس Ligolo و یک برداشت کننده اعتبارنامه به نام MKL64 بود، نشان می‌داد.

این شرکت سنگاپوری همچنین گفت که قادر است زیرساخت‌های ناشناخته‌ای را که توسط گروه اداره می‌شود و همچنین یک اسکریپت PowerShell را شناسایی کند که قادر به دریافت دستورات از یک سرور راه دور است که نتایج آن به سرور ارسال می‌شود.

این افشاگری پس‌از‌آن صورت می‌گیرد که مایکروسافت روش‌های عملیاتی این گروه را برای انجام حملات مخرب به محیط‌های ترکیبی تحت پوشش یک عملیات باج‌افزار گزارش داد.

برچسب ها: ریموت, MKL64, وزارت اطلاعات و امنیت جمهوری اسلامی, Remote Support, SimpleHelp Remote Support Software, SimpleHelp, گروه هکر ایرانی, Syncro, ScreenConnect, RemoteUtilities, Ligolo, MOIS, Remote, MuddyWater, spear-phishing, Iran, PowerShell, Cyberattack, ایران, ransomware , تهدیدات سایبری, Cyber Security, باج افزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل