یک گروه هکری منتسب به ایران، با کمپین فیشینگ هدفمند «هماهنگ» و «چندمرحلهای» مرتبط شده و سفارتخانهها و کنسولگریها در اروپا و دیگر مناطق جهان را هدف قرار داده است.
به گزارش عصر ارتباط هکرنیوز در گزارشی نوشت، شرکت امنیت سایبری صهیونیستی دریم (Dream)، این فعالیتها را به اپراتورهای همسو با ایران نسبت داده که با عملیات سایبری تهاجمی گستردهتری توسط گروه Homeland Justice مرتبط هستند.
این شرکت مدعی شده: «ایمیلها به گیرندههای دولتی در سراسر جهان ارسال شد و خود را بهعنوان مکاتبات دیپلماتیک قانونی جا زد. طبق شواهد این اقدام، بخشی از تلاش گستردهتر جاسوسی منطقهای است که اهداف دیپلماتیک و دولتی را در زمان تنشهای ژئوپلیتیکی فزاینده، هدف قرار داده است.»
زنجیرههای حمله، شامل استفاده از ایمیلهای فیشینگ هدفمند با موضوعات مرتبط با تنشهای ژئوپلیتیکی ایران و اسرائیل است تا فایل مخرب ورد ارسال کند. این فایل، هنگام باز شدن، از گیرنده میخواهد «Enable Content» را فعال کند تا ماکروی تعبیهشده در آن اجرا شود و مسئول استقرار بدافزار باشد.
طبق گزارش دریم، این ایمیلها که به سفارتخانهها، کنسولگریها و سازمانهای بینالمللی در خاورمیانه، آفریقا، اروپا، آسیا و آمریکا ارسال شدهاند، نشان میدهد این فعالیت، دام فیشینگ گستردهای ایجاد کرده است. گفته میشود سفارتخانههای اروپایی و سازمانهای آفریقایی، بیشترین هدف این حملات بودهاند.
ایمیلهای دیجیتال از ۱۰۴ آدرس منحصربهفرد که متعلق به مقامات رسمی یا نهادهای شبهدولتی بود، ارسال شده تا اعتبار بیشتری به آنها بدهد. حداقل برخی ایمیلها از صندوق ایمیل هکشده وزارت امور خارجه عمان در پاریس (*@fm.gov.om) ارسال شدهاند.
دریم اعلام کرد: «محتوای فریبنده، همواره به ارتباطات فوری احراز هویت چندعاملی (MFA) اشاره داشت، حس اقتدار را منتقل و از رویه معمول فعالسازی ماکرو برای دسترسی به محتوا سوءاستفاده میکرد که بیانگر عملیات جاسوسی برنامهریزیشده است و عمدی بودن پنهانسازی منبع آن را نشان میدهد.»
هدف نهایی حملات، از طریق ماکروی VBA، اجرای برنامهای است که میتواند در سیستم باقی بماند، با سرور فرمان و کنترل (C2) تماس بگیرد و اطلاعات سیستم را جمعآوری کند.
شرکت امنیت سایبری کلیراسکای (ClearSky)، که اواخر ماه گذشته، جنبههایی از این کمپین را توضیح داده بود، اعلام کرد ایمیلهای فیشینگ به چند وزارت امور خارجه ارسال شدهاند.
این شرکت، در شبکه ایکس مدعی شد: «از روشهای مشابه فریب توسط تهدیدکنندگان ایرانی در سال ۲۰۲۳ استفاده شده؛ یعنی زمانی که آلبانی را، هدف قرار دادند. با اطمینان متوسط ارزیابی میکنیم این فعالیت به همان تهدیدکنندگان ایرانی، مرتبط است.»
