بازیگر تهدید آمیز دولتی ایران قربانیان جدیدی را در کمپین های سایبری و جنبشی هدف قرار می دهد

تحقیقات جدید از Proofpoint تغییر بزرگی در Modus Operandi بازیگر تهدید TA453 ، که شروع به انجام حملات خصمانه تر می کند ، افشا می کند.

تصویر: Rarestock/Adobe Stock

TA435 اکنون از تاکتیک های تهاجمی تری استفاده می کند ، از جمله استفاده از حساب های ایمیل واقعی ، بدافزار و فریب های مقابله ای برای دستیابی به حساب های کلیدی. این بازیگر تهدید حساب های با کیفیت بالا و با امنیت بالا را برای اهداف احترام سایبری هدف قرار می دهد.

TA453 کیست؟

TA453 یک بازیگر تهدید سایبری ایرانی تحت حمایت دولت است. به گزارش Proofpoint ، TA453 تقریباً همیشه به دلیل هدف قرار دادن دانشگاهیان ، محققان ، دیپلمات ها ، مخالفان ، روزنامه نگاران و کارگران حق انسانی شناخته شده است که همه با تخصص در خاورمیانه هستند.

TA453 با گروههای مجلل سایبری جذاب بچه گربه ، فسفر و APT42 همپوشانی دارد.

باید پوشش امنیتی را بخوانید

• تهدیدهای برتر امنیت سایبری برای سال 2023
• بهترین نرم افزار مدیریت دارایی IT 2022
• با جامع ترین دستگاه امنیت سایبری قابل حمل ملاقات کنید
• نحوه ایمن کردن ایمیل خود از طریق رمزگذاری ، مدیریت رمز عبور و موارد دیگر (حق بیمه TechRepublic)

روش مورد علاقه آنها برای نزدیک شدن و حمله به اهداف آنها شامل استفاده از چراغهای وب در ایمیل ها قبل از تلاش برای برداشت اعتبار هدف. آنها همچنین از جعل هویت چند نفره استفاده می کنند ، که یک ترفند مهندسی اجتماعی با استفاده از دو حساب جعلی است که توسط مهاجمان کنترل می شود تا در یک موضوع ایمیل واحد با قربانی صحبت کنند. چند شخص سعی در متقاعد کردن هدف مشروعیت این عملیات دارند.

Proofpoint در حال حاضر شش زیر گروه از TA453 را دنبال می کند ، که توسط قربانی شناسی ، زیرساخت ها و تاکتیک ها ، تکنیک ها و رویه ها طبقه بندی می شوند.

محققان ارزیابی می کنند که TA453 به طور کلی برای سپاه نگهبان انقلابی اسلامی ایران ، عملیات اطلاعاتی ، بر اساس تحقیقات PWC و وزارت دادگستری در یک کیفرخواست 2018 علاوه بر تجزیه و تحلیل هدف قرار دادن TA453 در مقایسه با فعالیت های گزارش شده IRGC-IO ، فعالیت می کند.

Proofpoint گفت: "فعالیت تهاجمی تر می تواند همکاری با شاخه دیگری از دولت ایران ، از جمله نیروی IRGC QDS را نشان دهد."

تغییر در روش های TA453

حساب های ایمیل برای رسیدن به اهداف استفاده می شود

استفاده از حسابهای ایمیل ایجاد شده توسط مهاجم گاهی اوقات توسط بازیگران تهدید به نفع استفاده از حساب های به خطر افتاده واقعی کاهش می یابد. این امر باعث می شود تا محتوای آنها مشروعیت بیشتری داشته باشد ، زیرا از یک آدرس ایمیل شناخته شده به جای یک نام ناشناخته ناشی می شود.

این روش توسط یک زیر گروه از بازیگر تهدید TA453 استفاده می شود و همراه با استفاده از کوتاه کننده های URL غیرمعمول مانند BNT2 [.] Live یا NCO2 [.] Live. Proofpoint نشان می دهد که در سال 2021 ، یک دبیر مطبوعات ایالات متحده با استفاده از آدرس ایمیل یک خبرنگار محلی توسط TA453 به دست آمد.

استفاده از بدافزار

Malware Ghostecho ، یک پشتی سبک PowerShell که در حال توسعه است که قادر به اجرای ماژول های اضافی و ارتباط با یک سرور C2 کنترل شده توسط مهاجم است ، برای هدف قرار دادن انواع مأموریت های دیپلماتیک در سراسر تهران در سال 2021 برای هدف قرار دادن طرفداران حقوق زنان در کشور استفاده شد. بار بار در هنگام کشف در دسترس محققان نبود.

فریب های تقابل

سامانتا گرگ شخصیتی است که توسط TA453 ساخته شده است که در فریب مهندسی اجتماعی مقابله می شود. هدف این است که ترس و عدم اطمینان هدف را افزایش دهیم تا آنها به ایمیل های ارسال شده توسط مهاجمان پاسخ دهند.

سامانتا گرگ از شکایات عمومی و تصادفات رانندگی در میان مضامین دیگر استفاده کرد و سیاستمداران ایالات متحده و اروپایی و نهادهای دولتی را هدف قرار داد (شکل A).

شکل a

تصویر: Proofpoint. نمونه مطالب ایمیل را که توسط شخصیت گرگ سامانتا ارسال شده است.

اسناد ارسال شده توسط سامانتا گرگ حاوی تزریق الگوی از راه دور برای بارگیری پرونده های مخرب و در نتیجه عفونت Ghostecho است. روشی که توسط مهاجمان استفاده می شد شامل جایگزینی الگوی پیش فرض قبلی مایکروسافت کلمه بود.

حتی فعالیت تهاجمی تر

در ماه مه سال 2022 ، Proofpoint حمله ای را برای هدف قرار دادن یک مقام عالی رتبه نظامی با چندین حساب ایمیل به خطر افتاده کشف کرد. فرد هدفمند عضو سابق ارتش اسرائیل بود. همانطور که قبلاً ذکر شد ، استفاده از چندین حساب ایمیل به خطر افتاده برای چنین حمله ای برای TA453 غیرمعمول است.

پیام تهاجمی به زبان عبری (شکل B) نوشته شده و از نام اول شخص در نام پرونده استفاده شده است.

شکل B

تصویر: Proofpoint. پیام تهاجمی به زبان عبری به یک هدف ارسال شد.

متن تقریباً ترجمه می کند: "من مطمئن هستم که شما به یاد می آورید وقتی به شما گفتم هر ایمیلی که از دوستانتان دریافت می کنید ممکن است من باشم و نه شخصی که ادعا می کند. ما شما را مانند سایه شما دنبال می کنیم - در تل آویو ، در [دانشگاه رد شده] ، در دبی ، در بحرین. مراقب خودت باش."

طبق گفته Proofpoint ، این تاکتیک ارعاب همچنین نشانگر همکاری بین TA453 و عملیات خصمانه دولت ایران است.

همپوشانی در زیرساخت های مرتبط با این مورد و مورد دیگر نیز به نتیجه گیری تحقیق می افزاید. در ماه مه سال 2022 ، یک محقق اسرائیلی ایمیلی دریافت کرد که از آدرس ایمیل کلاهبرداری یک دانشگاهی معتبر برای دعوت از یک کنفرانس به منظور ربودن آنها ، به منظور آدم ربایی آنها را به یک کنفرانس دعوت کرد.

عملیات دورافتاده TA453S با پشتیبانی احتمالی از عملیات خصمانه یا حتی جنبشی ، وضعیت تکامل ثابت در TTP خود را نشان داده است.

Modus Operandi که قبلاً شناخته شده است TA435

TA453 به طور کلی با حسابهای ایمیل که ایجاد می کنند به اهداف خود نزدیک می شوند و از طریق مکالمه خوش خیم ، برقراری ارتباط با اهداف خود را آغاز می کنند ، اگرچه برخی از زیر گروه های آن ممکن است مستقیماً با یک لینک برداشت اعتبار به هدف ضربه بزنند. مهم نیست که طول مبادله ، هدف همیشه دسترسی به ایمیل هدف از طریق لینک فیشینگ است.

مشاهده: خط مشی امنیت دستگاه تلفن همراه (حق بیمه TechRepublic)

این تکنیک نشان می دهد که علاقه اصلی مهاجم در خواندن محتوای ایمیل هدف قرار دارد ، نه اینکه سعی کنید رایانه خود را با بدافزار آلوده کند تا به پرونده ها و پوشه ها دسترسی پیدا کند. این همچنین مخفیانه تر است ، زیرا به طور کلی هشدارهایی را از تولیدات امنیتی ایجاد نمی کند - صفحات فیشینگ میزبان در زیرساخت ها هرگز به طور گسترده ای پخش نمی شوند و بنابراین به سختی گزارش می شوند.

چگونه خود را از این تهدید محافظت کنیم

کاربران باید هنگام باز کردن محتوای ایمیل ، حتی وقتی از یک آدرس ایمیل تأیید شده و قابل اعتماد ناشی می شوند ، که ممکن است به خطر بیفتد ، مراقب باشند.

محتوای ایمیل باید زنگ خطر را برای خواننده ایجاد کند: مراقب فرم هایی باشید که قبلاً توسط نویسنده ، اشتباهات املایی ، تغییر در زبان یا دیکتاتیک و سایر نشانه ها مبنی بر جعل ایمیل استفاده نشده است. در صورت شک ، کاربران باید با مراجعه به فرستنده از طریق کانال دیگر ، مشروعیت ایمیل را تأیید کنند.

کاربران همچنین باید همیشه دعوت نامه ها را به کنفرانس ها بررسی کرده و مستقیماً از طریق وب سایت رسمی خود به سازمان دهندگان دسترسی پیدا کنند. کاربران هرگز نباید روی هرگونه لینک مشکوک کلیک کنند. درعوض ، پیوند را به بخش IT یا تیم های CERT/SOC برای تحقیق گزارش دهید ، زیرا این یک تلاش فیشینگ است.

افشای اطلاعات: من برای Micro Trend کار می کنم ، اما نظرات بیان شده در این مقاله مال من است.

خبرنامه خودی امنیت سایبری

دفاع از امنیت IT سازمان خود را با پایداری از آخرین اخبار امنیت سایبری ، راه حل ها و بهترین شیوه ها تقویت کنید.