Logotyp serwisu CyberDefence24
Reklama

Cyberbezpieczeństwo

Irańscy hakerzy w nowej kampanii socjotechnicznej

Irańscy hakerzy stale atakują
Irańscy hakerzy stale atakują
Autor. pxhere.com, CC0

Ataki socjotechniczne są poważnym zagrożeniem dla każdego z nas. Irańscy cyberprzestępcy podszywali się pod dziennikarzy w celu uzyskania nieuprawnionego dostępu do sieci korporacyjnych. Do ataków wykorzystywane są m.in. domeny podszywające się pod znane strony internetowe.

Phishing jest atrakcyjnym rodzajem ataku dla cyberprzestępców. Tym razem irańskie APT42 wykradało dane logowania, używając do tego fałszywych kont na Twitterze. Wykryto również dwa backdoory.

    Reklama

    Metody irańskich cyberprzestępców

    Podobnie jak w przypadku północnokoreańskich ataków socjotechnicznych, pierwszy kontakt był nawiązywany przez media społecznościowe. Google w raporcie wymienia jedno z kont stworzone przez cyberprzestępców.

    Zrzut ekranu z jednego z kont
    Zrzut ekranu z jednego z kont
    Autor. https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations

    Wysyłali oni załączniki o atrakcyjnych nazwach. Jednym z nich był plik hostowany na Dropbox o nazwie „Sekrety tuneli w Gazie”.

    Plik na Dropbox
    Plik na Dropbox
    Autor. https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations

    Kolejną techniką cyberprzestępców było wykorzystanie stron phishingowych do przejmowania danych logowania do skrzynek e-mailowych. Irańscy hakerzy podszywali się m.in. pod Microsoft.

    Strony phishingowe, w tym panel logowania do maila
    Strony phishingowe, w tym panel logowania do maila
    Autor. https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations
    Wybrane URL stron phishingowych
    Wybrane URL stron phishingowych
    Autor. https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations
      Reklama

      Złośliwe oprogramowanie

      Ostatnim krokiem cyberprzestępców było pobranie i wykonanie złośliwego oprogramowania. Atakujący wykorzystali zaciemnione polecenia w celu infekcji urządzeń.

      Skutkiem wykonania oryginalnych poleceń było nawiązanie połączenia z serwerem C2 (ang. Command and Control).

        Reklama

        Ochrona przed zagrożeniami

        Google opublikował listę złośliwych domen wraz z funkcjami skrótu MD5 pobieranych plików. Zostały również stworzone reguły YARA, dzięki którym osoby odpowiedzialne za cyberbezpieczeństwo w organizacjach mogą szybko zapobiec zagrożeniom.

        Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

        Reklama

        Sztuczna inteligencja w Twoim banku. Gdzie ją spotkasz?

        Materiał sponsorowany

        Komentarze

          Reklama

          Czytaj także

          Microsoft załatał podatność, pozwalającą na eskalację uprawnień do poziomu SYSTEM
          Poważna podatność w Windowsie. Zadbaj o aktualizację
          Deepfake z Rafałem Trzaskowskim. Fałszywa oferta pomocy
          Bułgarski Naczelny Sąd Administracyjny został zaatakowany przez Ransomhouse
          Naczelny Sąd Administracyjny Bułgarii ofiarą ransomware
          Power Connect Energy Summit
          Zostań częścią największego wydarzenia energetycznego 2025 roku!
          Władimir Putin rosja
          HUR: Rosja ogłosi „zwycięstwo” w rocznicę inwazji
          Warszawskie Dni Informatyki
          XVI edycja kultowego wydarzenia społeczności IT i Data Science
          Wybory w Niemczech. Algorytmy wpłyną na wynik?
          smartfon
          Ponad 190 mln zł dla Ministerstwa Cyfryzacji na rozbudowę mObywatela