شبکه جدید هکرهای ایرانی جهت هدفگیری کمپینهای سیاسی آمریکا شناسایی شد
اخبار داغ فناوری اطلاعات و امنیت شبکه
محققان امنیت سایبری زیرساختهای شبکه جدیدی را کشف کردهاند که توسط مهاجمان تهدیدکننده ایرانی برای حمایت از فعالیتهای مرتبط با هدفگیری اخیر کمپینهای سیاسی ایالات متحده ایجاد شده است.
گروه Insikt از Recorded Future این زیرساخت را به یک گروه هکری مرتبط کرده است که آن را بهعنوان GreenCharlie ردیابی میکند. طبق ادعاها، فعالیت این گروه تهدید سایبری ایران نکسوس (Iran-Nexus) با APT42، Charming Kitten، Damselfly، Mint Sandstorm (Phosphorus سابق)، TA453، و Yellow Garuda همپوشانی دارد.
این شرکت امنیت سایبری گفت: «زیرساختهای این گروه به دقت ساخته شده است و از ارائهدهندگان DNS پویا یا دینامیک (DDNS) مانند Dynu، DNSEXIT و Vitalwerks برای ثبت دامنههای مورد استفاده در حملات فیشینگ استفاده میکند».
این گزارش در ادامه ادعاهایش میافزاید: «این دامنهها اغلب از تمهای فریبنده مربوط به سرویسهای ابری، اشتراکگذاری فایل و اسناد جعلی استفاده میکنند تا اهداف را به سمت افشای اطلاعات حساس یا دانلود فایلهای مخرب سوق دهند».
مثالها عبارتاند از عباراتی مانند «cloud»، uptimezone»، «doceditor»، «joincloud» و «pageviewer» و غیره. اکثر دامنهها با استفاده از دامنه سطح بالای info (TLD) ثبت شدهاند، که تغییراتی را نسبت به TLDهای .xyz،.icu،.network،. online و site. از خود نشان میدهد.
طبق ادعاهای این گزارش، مهاجم دارای سابقه حملات فیشینگ بسیار هدفمند است که از تکنیکهای مهندسی اجتماعی گسترده برای آلوده کردن کاربران به بدافزارهایی مانند POWERSTAR (معروف به CharmPower و GorjolEcho) و GORBLE استفاده میکند که اخیرا توسط Mandiant متعلق به گوگل شناسایی شده است که در کمپینهایی بر ضد اسرائیل و ایالات متحده استفاده میشود.
بدافزارهای GORBLE، TAMECAT و POWERSTAR بهعنوان گونههایی از همان بدافزار ارزیابی میشوند و مجموعهای از ایمپلنتهای PowerShell همیشه در حال تکامل هستند که توسط GreenCharlie در طول سالها بهکار گرفته شدهاند. لازم به ذکر است که Proofpoint جزئیات دیگری از جانشین POWERSTAR به نام BlackSmith را ارائه کرد که در یک کمپین فیشینگ هدفمند با هدف قرار دادن یک شخصیت برجسته یهودی در اواخر ژوئیه ٢٠٢٤ مورد استفاده قرار گرفت.
فرآیند آلودگی اغلب چند مرحلهای است که شامل دستیابی اولیه از طریق فیشینگ و بهدنبال آن برقراری ارتباط با سرورهای Command-and-Control (C2) و درنهایت استخراج دادهها یا تحویل payloadهای اضافی است.
یافتههای Recorded Future و ادعاهایش نشان میدهد که عامل تهدید تعداد زیادی دامنه DDNS را از ماه می٢٠٢٤ به ثبت رسانده است و این شرکت همچنین ارتباطات بین آدرسهای IP مبتنی بر ایران (38.180.146[.]194 و 38.180.146[.]174) و زیرساخت بین جولای و آگوست GreenCharlie را شناسایی کرده است.
علاوه بر این، یک لینک مستقیم بین کلاسترهای GreenCharlie و سرورهای C2 مورد استفاده توسط GORBLE کشف شده است. اعتقاد بر این است که عملیات با استفاده از Proton VPN یا Proton Mail برای مبهم کردن فعالیت آنها تسهیل میشود.
مجموعه Recorded Future گفت: «عملیات فیشینگ GreenCharlie بسیار هدفمند است و اغلب از تکنیکهای مهندسی اجتماعی استفاده میکند که از رویدادهای جاری و تنشهای سیاسی سواستفاده میکند. این گروه از ماه مه ٢٠٢٤ دامنههای متعددی را ثبت کرده است که احتمالا بسیاری از آنها برای فعالیتهای فیشینگ استفاده میشوند. این دامنهها به ارائهدهندگان DDNS مرتبط هستند که امکان تغییرات سریع در آدرسهای IP را فراهم میکند و ردیابی فعالیتهای گروه را دشوار مینماید».
این افشاگری در بحبوحه افزایش فعالیتهای سایبری مخرب ایران علیه ایالات متحده و سایر اهداف خارجی صورت میگیرد. در اوایل این هفته، مایکروسافت ادعا کرد که چندین بخش در ایالات متحده و امارات متحده عربی، هدف یک علمل تهدید کننده ایرانی با اسم Peach Sandstorm (معروف به Refined Kitten) هستند.
علاوه بر این، سازمانهای دولتی ایالات متحده گفتند که یکی دیگر از نیروهای هک تحت حمایت ایران با نام Pioneer Kitten، بهعنوان یک واسطه دسترسی اولیه (IAB) برای تسهیل حملات باجافزار علیه بخشهای آموزشی، مالی، بهداشت، دفاع و دولت در ایالات متحده با همکاری تیمهای NoEscape، RansomHouse و BlackCat، اقدام به حمله نمودهاند.
برچسب ها: Vitalwerks, Dynu, DNSEXIT, گرین چارلی, GreenCharlie, GORBLE, Pioneer Kitten, Damselfly, Tamecat, Refined Kitten, Peach Sandstorm, GorjolEcho, POWERSTAR, Mint Sandstorm, Yellow Garuda, Iran-nexus, APT42, TA453, CharmPower, Phosphorus, Blacksmith, DDNS, Iran, cybersecurity, ایران, phishing, malware, Charming Kitten, جاسوسی سایبری, فیشینگ, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news