خلاصه فعالیت‌های اخیر گروه‌‌های هکری ایرانی

1 سال ago
گروه‌های هکری ایرانی Imperial Kitten and Muddy Water

اخیراً  گروه‌های هکری ایرانی وابسته به ارگان‌های مختلف رژیم ایران مانند وزارت اطلاعات و سازمان‌ اطلاعات سپاه…، فعالیت‌های خود را گسترش داده اند. در این گزارش، ما به فعالیت و عملیات‌های اخیر گروه‌های «Imperial Kitten و Muddy Water» می‌پردازیم.

گروه هکری Imperial Kitten

شرکت امنیت سایبری Crowdstrike به‌تازگی گزارشی منتشر کرده که در آن فعالیت‌ها، روش‌ها، تکنیک‌ها و ابزارهای گروه هکری Imperial Kitten وابسته به سپاه پاسداران را بررسی می‌کند.

این گروه که «Crimson Sandstorm, TA456, Tortoiseshell و Yellow Lideric» نیز شناخته می‌شود، فعالیت خود را در سال ۲۰۱۷ میلادی آغاز کرد و احتمال قوی وجود دارد که نیازمندی‌های راهبردی سازمان اطلاعات سپاه را تامین می‌کند. گروه بیشتر از روش‌های مهندسی اجتماعی در حوزه ایجاد محتوای استخدامی استفاده می‌کند تا قربانی را جذب کند و در مرحله بعدی حمله، کاشت افزار بر اساس چارچوب .NET خود را در سیستم هدف نصب کند.

سلسله حملات اخیر این گروه عمدتاً وب‌سایت‌های اسرائیلی را مورد حمله قرار داده و نفوذ کرده و بعد با استفاده از یک بدافزار خاصی به زبان برنامه‌نویسی جاوا اسکریپت، کاربران سایت آلوده شده را شناسایی می‌کند و جزییات و اطلاعلات آنان را به سروری تحت کنترال گروه استخراج می‌کند.

علاوه بر استفاده از حمله آبیاری «Watering hole»، این گروه از حمله آسیب‌پذیری روز صفر، مشخصات به سرقت رفته، فیشینگ و غیره بهره برداری می‌کند.

معمولاً گروه هکری ایرانی Imperial Kitten اهداف را در خاور میانه مورد حمله سایبری قرار می‌دهد اما از زمانیکه حماس به اسرائیل حمله کرد، به شرکت‌ها و سازمان‌های اسرائیلی بسیاری حمله کرده است.

گزارش Crowdstrike را در اینجا بخوانید

گروه هکری مادی واتر

گروه هکری ایرانی مادی واتر مثل Imperial Kitten کوشش‌های خود را علیه اسرائیل افزایش می‌دهد اما این گروه تحت فرمان وزارت اطلاعات عمل می‌کند. اخیراً مشاهده شده است که این گروه از یک چارچوب فرمان و کنترال جدید به نام «Muddy2Go» استفاده می‌کند. گمان می‌رود که چارچوب‌ مذکر از سال ۲۰۲۰ میلادی به کار برده می‌شود و همچنین به نظر می‌رسد که آن جای پلتفورم قدیمی این گروه «PhonyC2» را گرفته است؛ برنامه فرمان و کنترال دیگری که سورس کد آن در ژوئن ماه سال جاری، در اینترنت لو رفت.

نکته جالب و قابل توجه این است که مادی واتر روش خود را بهبود بخشیده است و حالا از آرشیوهای رمز شده استفاده می‌کند تا از تدابیر امنیتی در سرورها پرهیز و یک فایل مخرب در سیستم قربانی فعال کند. تاکنون، قابلیت کامل این بارویروس مشخص نشده اما احتمال دارد پاورشلی به کار ببرد و لذا توصیه می‌شود هرجا که استفاده از پاورشل لازم نباشد، پاورشل را غیرفعال نمایید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *