IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

‌
محققان امنیت سایبری زیرساخت‌های شبکه جدیدی را کشف کرده‌اند که توسط مهاجمان تهدیدکننده ایرانی برای حمایت از فعالیت‌های مرتبط با هدف‌گیری اخیر کمپین‌های سیاسی ایالات متحده ایجاد شده است.
‌
گروه Insikt از Recorded Future این زیرساخت را به یک گروه هکری مرتبط کرده است که آن را به‌عنوان GreenCharlie رد‌یابی می‌کند. طبق ادعاها، فعالیت این گروه تهدید سایبری ایران نکسوس (Iran-Nexus) با APT42، Charming Kitten، Damselfly، Mint Sandstorm (Phosphorus سابق)، TA453، و Yellow Garuda همپوشانی دارد.
‌
این شرکت امنیت سایبری گفت: «زیرساخت‌های این گروه به دقت ساخته شده است و از ارائه‌دهندگان DNS پویا یا دینامیک (DDNS) مانند Dynu، DNSEXIT و Vitalwerks برای ثبت دامنه‌های مورد استفاده در حملات فیشینگ استفاده می‌کند».
‌
این گزارش در ادامه ادعاهایش می‌افزاید: «این دامنه‌ها اغلب از تم‌های فریبنده مربوط به سرویس‌های ابری، اشتراک‌گذاری فایل و اسناد جعلی استفاده می‌کنند تا اهداف را به سمت افشای اطلاعات حساس یا دانلود فایل‌های مخرب سوق دهند».
‌
مثال‌ها عبارت‌اند از عباراتی مانند «cloud»، uptimezone»، «doceditor»، «joincloud» و «pageviewer» و غیره. اکثر دامنه‌ها با استفاده از دامنه سطح بالای info (TLD) ثبت شده‌اند، که تغییراتی را نسبت به TLD‌های .xyz،.icu،.network،. online و site. از خود نشان می‌دهد.
‌
طبق ادعا‌های این گزارش، مهاجم دارای سابقه حملات فیشینگ بسیار هدفمند است که از تکنیک‌های مهندسی اجتماعی گسترده برای آلوده کردن کاربران به بدافزار‌هایی مانند POWERSTAR (معروف به CharmPower و GorjolEcho) و GORBLE استفاده می‌کند که اخیرا توسط Mandiant متعلق به گوگل شناسایی شده است که در کمپین‌هایی بر ضد اسرائیل و ایالات متحده استفاده می‌شود.
‌
بدافزار‌های GORBLE، TAMECAT و POWERSTAR به‌عنوان گونه‌هایی از همان بدافزار ارزیابی می‌شوند و مجموعه‌ای از ایمپلنت‌های PowerShell همیشه در حال تکامل هستند که توسط GreenCharlie در طول سال‌ها به‌کار گرفته شده‌اند. لازم به ذکر است که Proofpoint جزئیات دیگری از جانشین POWERSTAR به نام BlackSmith را ارائه کرد که در یک کمپین فیشینگ هدفمند با هدف قرار دادن یک شخصیت برجسته یهودی در اواخر ژوئیه ٢٠٢٤ مورد استفاده قرار گرفت.
‌
فرآیند آلودگی اغلب چند مرحله‌ای است که شامل دستیابی اولیه از طریق فیشینگ و به‌دنبال آن برقراری ارتباط با سرور‌های Command-and-Control (C2) و در‌نهایت استخراج داده‌ها یا تحویل payload‌های اضافی است.
‌
یافته‌های Recorded Future و ادعا‌هایش نشان می‌دهد که عامل تهدید تعداد زیادی دامنه DDNS را از ماه می‌٢٠٢٤ به ثبت رسانده است و این شرکت همچنین ارتباطات بین آدرس‌های IP مبتنی بر ایران (38.180.146[.]194 و 38.180.146[.]174) و زیرساخت بین جولای و آگوست GreenCharlie را شناسایی کرده است.
‌
علاوه بر این، یک لینک مستقیم بین کلاستر‌های GreenCharlie و سرور‌های C2 مورد استفاده توسط GORBLE کشف شده است. اعتقاد بر این است که عملیات با استفاده از Proton VPN یا Proton Mail برای مبهم کردن فعالیت آنها تسهیل می‌شود.
‌
مجموعه Recorded Future گفت: «عملیات فیشینگ GreenCharlie بسیار هدفمند است و اغلب از تکنیک‌های مهندسی اجتماعی استفاده می‌کند که از رویداد‌های جاری و تنش‌های سیاسی سواستفاده می‌کند. این گروه از ماه مه ٢٠٢٤ دامنه‌های متعددی را ثبت کرده است که احتمالا بسیاری از آنها برای فعالیت‌های فیشینگ استفاده می‌شوند. این دامنه‌ها به ارائه‌دهندگان DDNS مرتبط هستند که امکان تغییرات سریع در آدرس‌های IP را فراهم می‌کند و رد‌یابی فعالیت‌های گروه را دشوار می‌نماید».
‌
این افشاگری در بحبوحه افزایش فعالیت‌های سایبری مخرب ایران علیه ایالات متحده و سایر اهداف خارجی صورت می‌گیرد. در اوایل این هفته، مایکروسافت ادعا کرد که چندین بخش در ایالات متحده و امارات متحده عربی، هدف یک علمل تهدید کننده ایرانی با اسم Peach Sandstorm (معروف به Refined Kitten) هستند.
‌
علاوه بر این، سازمان‌های دولتی ایالات متحده گفتند که یکی دیگر از نیرو‌های هک تحت حمایت ایران با نام Pioneer Kitten، به‌عنوان یک واسطه دسترسی اولیه (IAB) برای تسهیل حملات باج‌افزار علیه بخش‌های آموزشی، مالی، بهداشت، دفاع و دولت در ایالات متحده با همکاری تیم‌های NoEscape، RansomHouse و BlackCat، اقدام به حمله نموده‌اند.