مسدودسازی شبکه هکر‌های لبنانی مرتبط با ایران و مهاجم به اسرائیل توسط مایکروسافت

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir microsoft disrupts iran linked hackers targeting organizations in israel 1
مایکروسافت روز پنجشنبه ادعا کرد اقداماتی را برای غیرفعال کردن فعالیت‌های مخرب ناشی از سواستفاده از OneDrive توسط یک عامل تهدید که قبلاً شناسایی نشده بود، انجام داده است که تحت نام پولونیوم (Polonium) با مضمون عنصر شیمیایی فعالیت می‌کند.

علاوه بر حذف حساب‌های متخلف ایجاد شده توسط گروه فعال مستقر در لبنان، مرکز اطلاعات تهدیدات این غول فناوری (MSTIC) اعلام کرد که بیش از ۲۰ برنامه مخرب OneDrive ایجاد شده توسط Polonium را به حالت تعلیق درآورده و به سازمان‌های آسیب‌دیده اطلاع داده است.

مجموعه MSTIC با سطح «اطمینان متوسط» ارزیابی کرد: «فعالیت مشاهده‌شده با سایر عاملان وابسته به وزارت اطلاعات و امنیت ایران (MOIS)، عمدتاً بر اساس همپوشانی قربانیان و اشتراک ابزار‌ها و تکنیک‌ها، هماهنگ و منطبق شده است».

اعتقاد بر این است که این گروه ادعا شده از فوریه ۲۰۲۲ به بیش از ۲۰ سازمان مستقر در اسرائیل و یک سازمان بین دولتی از طریق عملیات در لبنان حمله کرده است.

اهداف مورد نظر شامل نهاد‌هایی در بخش‌های تولید، فناوری اطلاعات، حمل‌ونقل، دفاعی، دولت، کشاورزی، مالی و مراقبت‌های بهداشتی، یک ارائه‌دهنده خدمات ابری برای هدف قرار دادن یک شرکت هواپیمایی پایین‌دستی و شرکت حقوقی که در اصل یک حمله زنجیره تأمین بوده، می‌شده است.

در اکثریت قریب به اتفاق موارد، اعتقاد بر این است که دسترسی اولیه با استفاده از نقص پیمایش مسیر در دستگاه‌های فورتینت (CVE-۲۰۱۸-۱۳۳۷۹)، با سواستفاده از آن برای مستقر کردن ایمپلنت‌های سفارشی PowerShell مانند CreepySnail که اتصالات را به یک سرور command-and-control (C2) برای اقدامات بعدی برقرار می‌کند، به دست آمده است.

زنجیره‌های حمله نصب‌شده توسط عامل سایبری شامل استفاده از ابزار‌های سفارشی است که از سرویس‌های ابری قانونی مانند حساب‌های OneDrive و Dropbox برای C2 به قربانیانش با استفاده از ابزار‌های مخرب به نام‌های CreepyDrive و CreepyBox استفاده می‌کنند.

محققان می‌گویند: «ایمپلنت عملکردی بنیادی را فراهم می‌کند که به عامل تهدید اجازه می‌دهد فایل‌های دزدیده شده را آپلود کند و فایل‌ها را برای اجرا دانلود کند».

طبق این ادعا، این اولین بار نیست که عوامل تهدید‌کننده ایرانی از خدمات ابری بهره می‌برند. در اکتبر ۲۰۲۱، Cybereason یک کمپین حمله را فاش کرد که توسط گروهی به نام MalKamak ترتیب داده شده بود که از Dropbox برای ارتباطات C2 در تلاش برای در‌امان ماندن از هرگونه شناسایی استفاده می‌کرد.

علاوه بر این، MSTIC اشاره کرد که چندین قربانی که توسط پولونیوم در معرض خطر قرار گرفته‌اند، قبلاً توسط گروه ایرانی دیگری به نام MuddyWater (معروف به مرکوری) مورد هدف قرار گرفته‌اند که توسط فرماندهی سایبری ایالات متحده به عنوان یک "عنصر تابع" در MOIS توصیف شده است.

همپوشانی قربانی به گزارش‌های قبلی، مبنی بر اینکه MuddyWater مجموعه‌ای از تیم‌های متعدد در امتداد خطوط Winnti (چین) و Lazarus Group (کره شمالی) است، اعتبار می‌بخشد.

در این گزارش آورده شده است که برای مقابله با چنین تهدیداتی، به کاربران توصیه می‌شود که احراز هویت چند عاملی و همچنین بررسی و حسابرسی روابط پارنتر را فعال کنند تا هرگونه پرمیشن غیر ضروری را به حداقل برسانند.

برچسب ها: CreepyBox, CreepyDrive, سرویس ابری, CreepySnail, Lebenon, لبنان, وزارت اطلاعات و امنیت, پولونیوم, Polonium, C2, MOIS, OneDrive, MuddyWater, MSTIC, Dropbox, MalKamak, Winnti, Iran, PowerShell, cybersecurity, Microsoft, ایران, israel, اسرائیل, Lazarus Group, Cyber Security, مایکروسافت, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ