Logotyp serwisu CyberDefence24
Reklama

Cyberbezpieczeństwo

Irańscy hakerzy w nowej kampanii socjotechnicznej

Irańscy hakerzy stale atakują
Irańscy hakerzy stale atakują
Autor. pxhere.com, CC0

Ataki socjotechniczne są poważnym zagrożeniem dla każdego z nas. Irańscy cyberprzestępcy podszywali się pod dziennikarzy w celu uzyskania nieuprawnionego dostępu do sieci korporacyjnych. Do ataków wykorzystywane są m.in. domeny podszywające się pod znane strony internetowe.

Phishing jest atrakcyjnym rodzajem ataku dla cyberprzestępców. Tym razem irańskie APT42 wykradało dane logowania, używając do tego fałszywych kont na Twitterze. Wykryto również dwa backdoory.

Czytaj też

Reklama

Metody irańskich cyberprzestępców

Podobnie jak w przypadku północnokoreańskich ataków socjotechnicznych, pierwszy kontakt był nawiązywany przez media społecznościowe. Google w raporcie wymienia jedno z kont stworzone przez cyberprzestępców.

Zrzut ekranu z jednego z kont
Zrzut ekranu z jednego z kont
Autor. https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations

Wysyłali oni załączniki o atrakcyjnych nazwach. Jednym z nich był plik hostowany na Dropbox o nazwie „Sekrety tuneli w Gazie”.

Plik na Dropbox
Plik na Dropbox
Autor. https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations

Kolejną techniką cyberprzestępców było wykorzystanie stron phishingowych do przejmowania danych logowania do skrzynek e-mailowych. Irańscy hakerzy podszywali się m.in. pod Microsoft.

Strony phishingowe, w tym panel logowania do maila
Strony phishingowe, w tym panel logowania do maila
Autor. https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations
Wybrane URL stron phishingowych
Wybrane URL stron phishingowych
Autor. https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations

Czytaj też

Reklama

Złośliwe oprogramowanie

Ostatnim krokiem cyberprzestępców było pobranie i wykonanie złośliwego oprogramowania. Atakujący wykorzystali zaciemnione polecenia w celu infekcji urządzeń.

Skutkiem wykonania oryginalnych poleceń było nawiązanie połączenia z serwerem C2 (ang. Command and Control).

Czytaj też

Reklama

Ochrona przed zagrożeniami

Google opublikował listę złośliwych domen wraz z funkcjami skrótu MD5 pobieranych plików. Zostały również stworzone reguły YARA, dzięki którym osoby odpowiedzialne za cyberbezpieczeństwo w organizacjach mogą szybko zapobiec zagrożeniom.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Komentarze

    Reklama

    Czytaj także

    Co wiedzą o nas samochody? Jakie dane zbierają?
    #CyberMagazyn: Samochód jak „wielki jeżdżący dysk”. Co wiedzą o nas nasze pojazdy?
    #CyberMagazyn: Łączność i bezpieczeństwo w transporcie kolejowym. Opinia byłego maszynisty
    Paszporty, prawa jazdy i numery ubezpieczenia społecznego wyciekły do sieci
    Atak na amerykańską agencję rekrutacyjną. Wyciek wielu dokumentów
    Jak rozwijać kompetencje cyfrowe od najmłodszych lat?
    Kompetencje przyszłości. Oczywiste cele, ale wciąż sporo do zrobienia
    Dlaczego transparentność jest tak ważna w świecie cyberbezpieczeństwa?
    Cyberbezpieczeństwo: odpowiedzialna i przejrzysta komunikacja to podstawa
    Ewolucja malware na telefony. Oszust przechwyci połączenie i wyłudzi dane
    hyundai kia samsung
    Samsung strategicznym partnerem marek Kia i Hyundai Motor
    Od nowych technologii do cyberbezpieczeństwa. O czym „nie możemy zapominać”?