Cyberbezpieczeństwo
Irańscy hakerzy w nowej kampanii socjotechnicznej
Ataki socjotechniczne są poważnym zagrożeniem dla każdego z nas. Irańscy cyberprzestępcy podszywali się pod dziennikarzy w celu uzyskania nieuprawnionego dostępu do sieci korporacyjnych. Do ataków wykorzystywane są m.in. domeny podszywające się pod znane strony internetowe.
Phishing jest atrakcyjnym rodzajem ataku dla cyberprzestępców. Tym razem irańskie APT42 wykradało dane logowania, używając do tego fałszywych kont na Twitterze. Wykryto również dwa backdoory.
Czytaj też
Metody irańskich cyberprzestępców
Podobnie jak w przypadku północnokoreańskich ataków socjotechnicznych, pierwszy kontakt był nawiązywany przez media społecznościowe. Google w raporcie wymienia jedno z kont stworzone przez cyberprzestępców.
Wysyłali oni załączniki o atrakcyjnych nazwach. Jednym z nich był plik hostowany na Dropbox o nazwie „Sekrety tuneli w Gazie”.
Kolejną techniką cyberprzestępców było wykorzystanie stron phishingowych do przejmowania danych logowania do skrzynek e-mailowych. Irańscy hakerzy podszywali się m.in. pod Microsoft.
Czytaj też
Złośliwe oprogramowanie
Ostatnim krokiem cyberprzestępców było pobranie i wykonanie złośliwego oprogramowania. Atakujący wykorzystali zaciemnione polecenia w celu infekcji urządzeń.
Skutkiem wykonania oryginalnych poleceń było nawiązanie połączenia z serwerem C2 (ang. Command and Control).
Czytaj też
Ochrona przed zagrożeniami
Google opublikował listę złośliwych domen wraz z funkcjami skrótu MD5 pobieranych plików. Zostały również stworzone reguły YARA, dzięki którym osoby odpowiedzialne za cyberbezpieczeństwo w organizacjach mogą szybko zapobiec zagrożeniom.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].