هکرهای ایران-نکسوس ، امفی را برای هدف قرار دادن نهادهای دولت جعل می کنند

محققان امنیت سایبری از یک عملیات پیشرفته و پیشرفته فنر ایران کشف کردند که از صندوق پستی وزارت امور خارجه (MFA) به خطر افتاده در عمان سوء استفاده می کردند تا بارهای مخرب را به نهادهای دولتی در سراسر جهان تحویل دهند.

تحلیلگران این عملیات را به گروه “عدالت وطن” نسبت می دهند که گمان می رود با وزارت اطلاعات و امنیت ایران (MOIS) هماهنگ باشد.

این کمپین با استفاده از ارتباطات دیپلماتیک سرقت شده ، ماکروهای رمزگذاری شده و تکنیک های فرار لایه ای ، فشار جدیدی را برای جاسوسی منطقه ای در میان افزایش تنش های ژئوپلیتیکی تأکید می کند.

فریب دیپلماتیک با ماکروهای مخرب

مهاجمان با ربودن یک مقام رسمی ، این کمپین را آغاز کردند حساب ایمیل از بین MFA عمانی در پاریس ، ارسال پیام هایی که به نظر می رسد حاوی اعلامیه های احراز هویت چند عاملی (MFA) است.

از دریافت کنندگان اعم از سفارتخانه ها و کنسولگری ها گرفته تا سازمان های بین المللی خواسته شد “محتوا را فعال کنند” تا اسناد کلمه ای کاملاً قانونی را مشاهده کنند.

تعبیه شده در این پیوست ها یک قطره قطره ای کلان VBA بود که بار باینری را از توالی شماره های سه رقمی ذخیره شده در یک کنترل شکل پنهان بازسازی می کرد.

پس از باز کردن سند ، کلان یک زنجیره چهار قسمتی را اجرا کرد:

1. تأخیر و ضد تجزیه و تحلیل: روال حلقه تو در تو (laylay) هزاران تکرار بدون نسخه ، ماسهبازی متوقف شده و محیط های تجزیه و تحلیل پویا را ایجاد کرد.
2. رمزگشایی بار: عملکرد (dddd) سه گانه از رقم در کنترل جعبه متن یک فرم کاربر در کاراکترهای ASCII ، بازآفرینی باینری بدافزار اجرایی.
3. قطره و اجرای خفا: بار رمزگشایی شده برای C:UsersPublicDocumentsManagerProc.log– یک پرونده ورود به ظاهر بی نظیر – و از طریق یک دستور پوسته با سرکوب خطا پنهان شده است.
4. پایداری و پاکسازی: تأخیرهای بیشتر این روند را بی سر و صدا انجام می دهد ، و خطاهای ساده گرایانه ماکرو هرگونه شکست را پنهان می کند.

این زنجیره اعدام نمونه ای از تحویل کلان کلاسیک را نشان می دهد ، اما استفاده از رمزگذاری عددی و تأخیرهای عمدی باعث افزایش مخفیک آن شده است و به مهاجمان این امکان را می دهد تا فیلترهای امنیتی استاندارد ایمیل و بازرسی های ماسهبازی را دور بزنند.

جاسوسی منطقه ای جهانی

یک بررسی پزشکی قانونی مشخص شده 270 ایمیل فیش نیزه ارسال شده از 104 آدرس منحصر به فرد MFA Omani ، که نشانگر دسترسی گسترده این کمپین است.

سیاهههای زیرساختی استفاده از گره های خروجی NordVPN در اردن را برای مبهم کردن منشأ واقعی پیام ها نشان داد. اهداف شش منطقه جهانی:

• اروپا: ده کشور ، 73 آدرس منحصر به فرد.
• آفریقا: دوازده کشور ، 30 آدرس.
• آسیا: هفت کشور ، 25 آدرس.
• خاورمیانه: هفت کشور ، 20 آدرس.
• در قاره آمریکا: یازده کشور ، 35 آدرس.
• سازمانهای بین المللی: ده بدن ، 12 آدرس.

اروپا به عنوان تمرکز اصلی ظاهر شد ، در حالی که مأموریت های آفریقایی نیز با هدف قرار دادن سنگین روبرو بودند. گنجاندن سازمان های برجسته چند جانبه – UNICEF ، بانک جهانی – علاقه مهاجمان به دیپلماسی استراتژیک و شبکه های بشردوستانه را روشن کرد.

علاوه بر این ، زمان همزمان با مذاکرات ظریف منطقه ای ، نشان می دهد که جمع آوری اطلاعات با هدف تأثیرگذاری یا پیش بینی نتایج دیپلماتیک.

فرار ، شناسایی و خطرات مرحله بعدی

اجرایی کاهش یافته ، لقب Sysprocupdate ، نشان از پیچیدگی های بیشتری داشت. این روش از روشهای ضد تجزیه و تحلیل-مانند فیلترهای استثناء غیرقانونی سفارشی و بسته بندی بخش-برای پیچیده تر کردن مهندسی معکوس استفاده کرد.

پس از فعال شدن ، ابرداده میزبان بدافزار (نام کاربری ، نام رایانه ، وضعیت اداری) ، اطلاعات را رمزگذاری کرده و آن را از طریق HTTPS Publish به یک ارسال کرد سرور فرمان و کنترل (https://screenai.on-line/Dwelling/).

یک حلقه چراغ ، حتی در صورت عدم دسترسی سرور ، تلاش های اتصال مداوم را تضمین می کرد.

برای حفظ جایگاه ، در حال کار کردن خود را تکرار کرد C:ProgramDatasysProcUpdate.exe و تنظیمات رجیستری ویندوز تحت پارامترهای حافظه پنهان DNS ، که به طور بالقوه حرکت جانبی آینده را قادر می سازد.

تأکید مهاجمان بر شناسایی ، این موج اولیه را با هدف نقشه برداری از توپولوژی های شبکه داخلی و شناسایی سیستم های با ارزش بالا برای بهره برداری بعدی نشان می دهد.

توصیه هایی برای کاهش

1. انسداد نشانگر: ارتباطات با screenai.on-line، و اسناد قرنطینه مطابق با هش های شناخته شده (به عنوان مثال ، کسانی که تحمل می کنند در حال کار کردن بار بار).
2. سیاستهای امنیتی کلان: تاسیسات پیش فرض دفتر برای غیرفعال کردن ماکرو ، و اجرای الزامات امضا دقیق برای هر ماکروهای فعال.
3. نظارت بر شبکه: ترافیک پست برون مرزی را به حوزه های ناشناخته یا غیرمعمول بازرسی کنید و با فعالیت کاربر داخلی ارتباط داشته باشید.
4. ممیزی رجیستری: به طور مرتب کلیدهای رجیستری مهم DNS و TCP/IP را برای اصلاحات غیرمجاز تأیید کنید.
5. تجزیه و تحلیل ترافیک VPN: سنبله های ناگهانی در ورود به سیستم VPN از طریق گره های مغایر با هنجارهای سازمانی ، به ویژه گره های خروجی واقع در مناطق تحت تأثیر.

سازمانها با ترکیب فیلترهای قوی ایمیل ، دفاع از شبکه فعال و آموزش کاربر برای تشخیص فریب های کلان فریبنده ، می توانند این سبک از فنر را خنثی کرده و توانایی یک طرف مقابل را در ایجاد دسترسی پنهانی برای جاسوسی یا خرابکاری محدود کنند.

شاخص های سازش (IOCs):

این داستان را جالب پیدا کنید! ما را دنبال کنید وابسته به لینکدین وت x برای به روزرسانی های فوری بیشتربشر