فناوری جدیدِ هکرهای منتسب به ایران

  • توسط نویسنده
  • ۹ ماه پیش
  • ۰

سمیه مهدوی پیام – بنا به ادعای یک موسسه تحقیقاتی اسرائیلی، گروه مودی‌واتر (MuddyWater)، یک گروه تحت حمایت دولتی ایران، به فناوری command-and-control (C2)  که قبلا دیده نشده، به نام PhonyC2 دست یافته که از سال 2021 استفاده شده است.

شرکت امنیت سایبری Deep Instinct در گزارشی که با وب‌سایت The Hacker News به اشتراک گذاشته شده، اعلام کرد که شواهد نشان می‌دهد این فناوری به عنوان اهرم فشار، نفوذ و توسعه‌یافته، به طور فعالانه در حمله فوریه 2023 به Technion مورد استفاده قرار گرفته است. علاوه بر این، لینک‌های اضافی بین برنامه مبتنی بر پایتون 3 و سایر حملات انجام‌شده توسط مودی‌واتر از جمله بهره‌برداری مداوم از سرورهای PaperCut، کشف شده است.

سایمون کنین، یک محقق امنیتی گفت: این برنامه، از نظر ساختاری و عملکردی شبیه به MuddyC3، چارچوب قبلی C2 سفارشی مودی‌واتر است که در پایتون 2 نوشته شده بود. این گروه، به طور مداوم چارچوب  PhonyC2 را به‌روز  و آپدیت می‌کند وTTP ها را برای جلوگیری از شناسایی تغییر می‌دهد.

به ادعای این شرکت امنیت سایبری اسرائیلی، گروه مودی‌واتر که با نام Mango Sandstorm و قبلا با نام مرکوری (Mercury) شناخته می‌شد، یک گروه جاسوسی سایبری است که حداقل از سال 2017 با نهادهای امنیتی ایران هماهنگی دارد.

این ادعاها تقریبا سه ماه پس از آن حاصل شد که مایکروسافت، عامل تهدید را برای انجام حملات مخرب به محیط‌های هیبریدی متهم و در عین حال، از یک خوشه مرتبط با نام Storm-1084 و نام مستعار DEV-1084 یا DarkBit)) برای شناسایی، تداوم، استمرار و حرکت جانبی، درخواست همکاری کرد.

همچنین شرکت امنیت سایبری فرانسوی سکویا (Sekoia) در بررسی اجمالی حملات سایبری تحت حمایت دولت ایران ادعا کرد: «ایران، عملیات‌ سایبری را با هدف جمع‌آوری اطلاعات برای اهداف استراتژیک انجام می‌دهد. این حملات، اساسا کشورهای همسایه، به‌ویژه رقبای ژئوپلیتیکی ایران مانند اسرائیل، عربستان سعودی و کشورهای خلیج فارس را هدف قرار می‌دهد و تمرکز مداوم همه عملیات‌ها، بر این موضوعات از سال 2011 مشاهده شده است.»

در این رابطه، زنجیره‌های حمله سازماندهی‌شده توسط این گروه، مانند سایر مجموعه‌های نفوذ ایران‌نکس (Irannexus i)، از سرورهای آسیب‌پذیر عمومی و مهندسی اجتماعی، به عنوان نقاط دسترسی اولیه برای نقض اهداف موردنظر استفاده می‌کنند.

نشریه Recorded Future نیز سال گذشته اعلام کرد: «این زنجیره‌های حمله، شامل استفاده از دست‌نشانده‌های پرجاذبه، فریب از طریق  فرصت‌های شغلی احتمالی، درخواست توسط روزنامه‌نگاران و ظاهر شدن به عنوان کارشناسان اتاق فکر در قسمت نظرات یا کامنت‌هاست. استفاده از مهندسی اجتماعی، یکی از مولفه‌های اصلی تجارت APT ایران، هنگام درگیر شدن در عملیات‌ اطلاعاتی و جاسوسی سایبری است.»

شرکت امنیت سایبری اسرائیلی Deep Instinct، چارچوب  PhonyC2 را در آوریل 2023 روی سروری کشف کرده که مربوط به زیرساخت‌های گسترده‌تری است که توسط گروه مودی‌واتر در حمله به Technion در اوایل سال جاری مورد استفاده قرار گرفته است. بر این اساس، سرور میزبان Ligolo، یک ابزار اصلی تونل‌سازی معکوس است که توسط عامل تهدید استفاده می‌شود.

این اتصال از نام‌های مصنوعی «C:\programdata\db.sqlite» و «C:\programdata\db.ps1» سرچشمه می‌گیرد که مایکروسافت آنها را به‌عنوان درب‌ پشتی PowerShell سفارشی‌سازی‌شده توسط مودی‌واتر توصیف می‌کند و به صورت فعالانه، از طریق چارچوب PhonyC2 برای اجرا روی هاست آلوده تولید می‌شود.

به گفته کنین، PhonyC2، یک چارچوب پس از بهره‌برداری است که برای تولید بارهایpayloads  مختلف، استفاده و دوباره به C2  متصل می‌شود و منتظر دستورالعمل‌های اپراتور برای انجام مرحله نهاییintrusion kill chain  هستند و آن را جانشین MuddyC3  و POWERSSTATS می‌دانند.

برخی از دستورهای قابل توجه پشتیبانی‌شده توسط چارچوب به شرح زیر است:

payload: Generate the payloads “C:\programdata\db.sqlite” and “C:\programdata\db.ps1” as well as a PowerShell command to execute db.ps1, which, in turn, executes db.sqlite

droper: Create different variants of PowerShell commands to generate “C:\programdata\db.sqlite” by reaching out to the C2 server and writing the encoded contents sent by the server to the file

Ex3cut3: Create different variants of PowerShell commands to generate “C:\programdata\db.ps1” — a script that contains the logic to decode db.sqlite — and the final-stage

list: Enumerate all connected machines to the C2 server

setcommandforall: Execute the same command across all connected hosts simultaneously

use: Get a PowerShell shell on a remote computer to run more commands

persist: Generate a PowerShell code to enable the operator to gain persistence on the infected host so it will connect back to the server upon a restart.

مارک وایتزمن، رهبر تیم تحقیقاتی تهدید شرکت امنیت سایبری Deep Instinct به هکرنیوز گفت: «این چارچوب برای اپراتور، بارهای مختلف powershell تولید می‌کند. اپراتور نیاز به دسترسی اولیه به یک ماشین قربانی برای اجرای آنها دارد. برخی از بارهای تولیدشده به اپراتور C2 متصل می‌شوند تا ماندگاری داشته باشند.»

این موسسه تحقیقاتی اسرائیلی مدعی است گروه مودی‌واتر، تنها گروه تحت حمایت دولتی ایران نیست که برای حمله به اسرائیل آموزش داده شده است. در ماه‌های اخیر، نهادهای مختلف در اسرائیل، هدفِ حداقل سه بازیگر مختلف قرار گرفته‌اند، از جمله Charming Kitten یا بچه‌گربه جذاب با نام مستعار (APT35)، Imperial Kitten معروف به لاک‌پشت (aka Tortoiseshell) و Agrius معروف به طوفان شن صورتی (aka Pink Sandstorm).

وایتزمن معتقد است C2 همان چیزی است که مرحله اولیه حمله را به مرحله نهایی متصل می‌کند. برای گروه مودی‌واتر، چارچوب C2 بسیار مهم است، زیرا به آنها اجازه می‌دهد مخفیانه بمانند و داده‌ها را از قربانیان جمع‌آوری کنند. این، اولین یا آخرین چارچوب سفارشی C2 نیست که آنها در طول حملات بزرگ استفاده می‌کنند.

  • facebook
  • googleplus
  • twitter
  • linkedin
  • linkedin
قبلی «
بعدی »

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اخبار روز


شبکه های اجتماعی

هفته نامه

پر بازدید ها

پیشنهاد سردبیر

طراحی و اجرا:‌ وب سامانه