Reklama

Cyberbezpieczeństwo

Irańscy hakerzy w nowej kampanii socjotechnicznej

Irańscy hakerzy stale atakują
Irańscy hakerzy stale atakują
Autor. pxhere.com, CC0

Ataki socjotechniczne są poważnym zagrożeniem dla każdego z nas. Irańscy cyberprzestępcy podszywali się pod dziennikarzy w celu uzyskania nieuprawnionego dostępu do sieci korporacyjnych. Do ataków wykorzystywane są m.in. domeny podszywające się pod znane strony internetowe.

Phishing jest atrakcyjnym rodzajem ataku dla cyberprzestępców. Tym razem irańskie APT42 wykradało dane logowania, używając do tego fałszywych kont na Twitterze. Wykryto również dwa backdoory.

Czytaj też

Reklama

Metody irańskich cyberprzestępców

Podobnie jak w przypadku północnokoreańskich ataków socjotechnicznych, pierwszy kontakt był nawiązywany przez media społecznościowe. Google w raporcie wymienia jedno z kont stworzone przez cyberprzestępców.

Zrzut ekranu z jednego z kont
Zrzut ekranu z jednego z kont
Autor. https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations

Wysyłali oni załączniki o atrakcyjnych nazwach. Jednym z nich był plik hostowany na Dropbox o nazwie „Sekrety tuneli w Gazie”.

Plik na Dropbox
Plik na Dropbox
Autor. https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations

Kolejną techniką cyberprzestępców było wykorzystanie stron phishingowych do przejmowania danych logowania do skrzynek e-mailowych. Irańscy hakerzy podszywali się m.in. pod Microsoft.

Strony phishingowe, w tym panel logowania do maila
Strony phishingowe, w tym panel logowania do maila
Autor. https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations
Wybrane URL stron phishingowych
Wybrane URL stron phishingowych
Autor. https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations

Czytaj też

Reklama

Złośliwe oprogramowanie

Ostatnim krokiem cyberprzestępców było pobranie i wykonanie złośliwego oprogramowania. Atakujący wykorzystali zaciemnione polecenia w celu infekcji urządzeń.

Skutkiem wykonania oryginalnych poleceń było nawiązanie połączenia z serwerem C2 (ang. Command and Control).

Czytaj też

Reklama

Ochrona przed zagrożeniami

Google opublikował listę złośliwych domen wraz z funkcjami skrótu MD5 pobieranych plików. Zostały również stworzone reguły YARA, dzięki którym osoby odpowiedzialne za cyberbezpieczeństwo w organizacjach mogą szybko zapobiec zagrożeniom.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama

Komentarze