IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

حمله به بخش‌های دفاعی و هوافضای خاورمیانه توسط هکر‌های UNC1549 مرتبط با ایران

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir iran linked unc1549 hackers
یکی از مهاجمان تهدید‌آمیز ایران موسوم به UNC1549 به احتمال قوی با مجموعه جدیدی از حملات که صنایع هوافضا، هوانوردی و دفاعی در خاورمیانه، از‌جمله اسرائیل و امارات متحده عربی را هدف قرار می‌دهد، مرتبط است.

مجموعه Mandiant متعلق به گوگل در تحلیلی جدید خود ادعا کرد که دیگر اهداف فعالیت جاسوسی سایبری احتمالا شامل ترکیه، هند و آلبانی است.

طبق ادعا‌های مطروح شده، UNC1549 با Smoke Sandstorm (Bohrium سابق) و Crimson Sandstorm (Curium سابق) همپوشانی دارد که گروه دوم یکی از گروه‌های وابسته به سپاه پاسداران انقلاب اسلامی (IRGC) است که با نام‌های Imperial Kitten، TA456، Tortoiseshell و Yellowder نیز شناخته می‌شود.

این شرکت گفت: "این فعالیت مشکوک UNC1549 حداقل از ژوئن ٢٠٢٢ آغاز شده و تا فوریه ٢٠٢٤ همچنان ادامه دارد. در‌حالی‌که حملات ماهیت منطقه‌ای دارد و بیشتر در خاورمیانه متمرکز است، اما هدف‌گذاری شامل نهاد‌هایی می‌شود که در سراسر جهان فعالیت می‌کنند".

این حملات مستلزم استفاده از زیرساخت ابری Microsoft Azure برای Command-and-Control (C2) و مهندسی اجتماعی (Social Engineering) شامل فریب‌های مرتبط با پیشنهادات شغلی برای ارائه دو Backdoor به نام‌های MINIBIKE و MINIBUS است.
takian.ir iran linked unc1549 hackers 1
ایمیل‌های فیشینگ هدفمند (Spear-Phishing) برای انتشار لینک‌هایی به وب‌سایت‌های جعلی حاوی محتوای مرتبط با اسرائیل و حماس یا پیشنهاد‌های شغلی ساختگی طراحی شده‌اند که منجر به استقرار یک payload مخرب می‌شود. همچنین در این حملات، صفحات ورود جعلی که از شرکت‌های بزرگ برای جمع‌آوری اعتبارنامه تقلید می‌کنند، مشاهده شده است.
takian.ir iran linked unc1549 hackers 2
اساسا، Backdoor‌های سفارشی، پس از ایجاد دسترسی C2، به عنوان مجرا و مسیری برای جمع‌آوری اطلاعات و دسترسی بیشتر به شبکه هدف عمل می‌کنند. ابزار دیگری که در این مرحله به کار گرفته و مستقر شده است، یک نرم‌افزار تونلینگ به نام LIGHTRAIL است که با استفاده از Azure Cloud ارتباط برقرار می‌کند.

در‌حالی‌که MINIBIKE بر مبنای ++C بوده و قادر به استخراج و آپلود فایل، و اجرای فرمان است، MINIBUS به عنوان یک "جانشین قوی" با ویژگی‌های شناسایی پیشرفته عمل می‌کند.

مجموعه Mandiant در ادامه ادعا‌های خود گفت: "اطلاعات جمع‌آوری شده در مورد این نهاد‌ها مربوط به منافع استراتژیک جمهوری اسلامی ایران است و ممکن است برای جاسوسی و همچنین عملیات جنبشی مورد استفاده قرار گیرد".

ماندیانت افزود: "روش‌های فراری که در این کمپین به‌کار گرفته شده‌اند، یعنی فریب‌های شغلی متناسب با استفاده از زیرساخت‌های ابری برای C2، ممکن است جلوگیری، شناسایی و کاهش سطح این فعالیت را برای مدافعان شبکه چالش‌برانگیز کند".

مجموعه CrowdStrike، در گزارش تهدید جهانی خود برای سال ٢٠٢٤، ادعا‌های خود را تکرار نموده و بیان کرد که چگونه "ایدئولوژیست‌های مرتبط با دشمنان و هکتیویست‌های مرتبط با دولت جمهوری اسلامی که خود را "طرفدار فلسطین" می‌نامند، بر هدف قرار دادن زیرساخت‌های حیاتی، سیستم‌های هشدار پرتابه‌های هوایی اسرائیل و فعالیت‌هایی که برای اهداف عملیات اطلاعاتی در سال ۲۰۲۳ در نظر گرفته شده است، تمرکز کرده‌اند".

این موارد شامل Banished Kitten است که بدافزار وایپر یا پاک‌کننده BiBi را راه‌اندازی کرد و Vengeful Kitten، نام مستعار Moses Staff (عصای موسی) که مدعی فعالیت پاک‌سازی اطلاعات علیه بیش از ٢٠ شرکت سیستم‌های کنترل صنعتی (ICS) در اسرائیل است.

با‌این‌حال، طبق ادعا‌ها، مهاجمان مرتبط با حماس به طور قابل توجهی در فعالیت‌های مربوط به درگیری‌های سایبری غایب بوده‌اند؛ چیزی که این شرکت امنیت سایبری آن را به قطع برق و اینترنت در منطقه نسبت داده است.

برچسب ها: Vengeful Kitten, BiBi Wiper, LIGHTRAIL, MINIBUS, MINIBIKE, Yellowder, Smoke Sandstorm, UNC1549, Cyber Attack, BiBi, Curium, Imperial Kitten, TA456, Crimson Sandstorm, UAE, فیشینگ هدفمند, Cyberspionage, Tortoiseshell, Bohrium, Moses Staff, IRGC, spear-phishing, Microsoft Azure, تونلینگ, Iran, Tunneling, cybersecurity, Social Engineering, مهندسی اجتماعی, ایران, israel, اسرائیل, جاسوسی سایبری, backdoor, هکر, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ ایمیل