بازیگر تهدید ایران-نکسوس معروف به UNC2428 مشاهده شده است که یک پشتوانه معروف به آن را ارائه می دهد مبهم به عنوان بخشی از یک کمپین مهندسی اجتماعی با مضمون شغلی که در اکتبر 2024 با هدف اسرائیل انجام شد.
Mandiant متعلق به Google UNC2428 را به عنوان یک بازیگر تهدیدی که با ایران هماهنگ است و درگیر عملیات مربوط به جاسوسی سایبری است ، توصیف کرد. گفته می شود که مجموعه نفوذ از طریق “زنجیره ای پیچیده از تکنیک های فریب” ، بدافزار را توزیع کرده است.
“کمپین مهندسی اجتماعی UNC2428 افراد را در حالی که به عنوان یک فرصت استخدام از پیمانکار دفاعی اسرائیل ، رافائل ، هدف قرار داد ، هدف قرار داد.” گفته شده در گزارش سالانه M-Traits برای سال 2025.
افرادی که ابراز علاقه کردند به سایتی هدایت شدند که رافائل را جعل کرد ، از آنجا از آنها خواسته شد تا ابزاری را برای کمک به درخواست کار بارگیری کنند.
ابزار (“rafaelconnect.exe”) یک نصب کننده لونفلت بود که پس از راه اندازی ، یک رابط کاربری گرافیکی (GUI) به قربانی ارائه داد تا اطلاعات شخصی خود را وارد کند و رزومه خود را ارسال کند.
پس از ارسال ، Backdoor Murkytour با استفاده از یک پرتابگر که به عنوان برگه به آن گفته می شود ، به عنوان یک فرایند پس زمینه راه اندازی شد و به مهاجمان دسترسی مداوم به دستگاه به خطر افتاده اعطا کرد.
مندیان گفت: “بازیگران تهدید ایران و Nexus ، رابط های کاربر گرافیکی (GUI) را برای مبدل کردن اجرای و نصب بدافزار به عنوان برنامه های قانونی یا نرم افزار درج کردند.” “افزودن یک رابط کاربری گرافیکی که یک نصب کننده معمولی را به کاربر ارائه می دهد و برای تقلید از فرم و عملکرد فریب استفاده شده می تواند سوء ظن افراد هدفمند را کاهش دهد.”
لازم به ذکر است که این کمپین همپوشانی با فعالیتی که اداره ملی سایبر اسرائیل به یک بازیگر تهدید ایرانی به نام بلک سایه نسبت داده شده است.
این گروه هک کردن که به نمایندگی از وزارت اطلاعات و امنیت ایران (MOIS) عمل می کند ، به دلیل هدف قرار دادن طیف گسترده ای از عمودی صنعت در اسرائیل ، از جمله آکادمی ، گردشگری ، امور مالی ، حمل و نقل ، مراقبت های بهداشتی ، دولت و فناوری شناخته شده است.
به هر حال ، UNC2428 یکی از بسیاری از خوشه های فعالیت تهدید ایران است که دیدگاه های خود را در مورد اسرائیل در سال 2024 آموزش داده است. یک گروه برجسته سایبر، که کاربران مستقر در اسرائیل را با برف پاک کن PokyBlight اختصاصی هدف قرار داد.
UNC3313 یکی دیگر از گروه های تهدید ایران-Nexus است که عملیات نظارت و جمع آوری اطلاعات استراتژیک را از طریق کمپین های Spear-Phishing انجام داده است. UNC3313اعتقاد بر این است که برای اولین بار توسط این شرکت در فوریه 2022 مستند شده است. گل آلودبشر
مندیان گفت: “این بازیگر تهدید میزبان بدافزار در خدمات به اشتراک گذاری پرونده های محبوب و پیوندهای جاسازی شده در فیشینگ های آموزش و وبینار بود.” “در یکی از این کمپین ها ، UNC3313 قطره قطره ای Jellybean و Candybox Backdoor را به سازمانها و افرادی که تحت هدف عملیات فیشینگ خود بودند ، توزیع کرد.”
حملات نصب شده توسط UNC3313 به شدت به نه ابزار مختلف نظارت و مدیریت از راه دور مختلف (RMM) تکیه داده اند ، تاکتیک امضاء از گروه Muddywater ، در تلاش برای جلوگیری از تلاش های تشخیص و دسترسی مداوم از راه دور.
این شرکت اطلاعاتی تهدید همچنین اعلام کرد که در ژوئیه سال 2024 یک مخالف مظنون به ایران را که با عبور از آن به عنوان نصب کننده نرم افزار دسترسی از راه دور GlobalProtect از راه دور ، یک Cactuspal Compendear را توزیع می کند ، مشاهده کرد.
جادوگر نصب ، پس از راه اندازی ، مخفیانه Backdoor .NET را مستقر می کند که به نوبه خود ، فقط یک نمونه از این روند را تأیید می کند قبل از برقراری ارتباط با یک سرور فرمان و کنترل خارجی (C2).
استفاده از ابزارهای RMM با وجود این ، بازیگران تهدید ایران را دوست دارند UNC1549 همچنین مشاهده شده است که اقدامات خود را برای ترکیب زیرساخت های ابری در تجارت تجاری خود انجام داده است تا اطمینان حاصل شود که اقدامات آنها با خدمات رایج در محیط های سازمانی ترکیب می شود.
Mandiant گفت: “علاوه بر تکنیک هایی مانند تایپ کردن و استفاده مجدد از دامنه ، بازیگران تهدید دریافتند که میزبانی گره های C2 یا بارهای موجود در زیرساخت های ابری و استفاده از دامنه های بومی ابر ، نظارتی را که ممکن است در عملیات آنها اعمال شود ، کاهش می دهد.”
هر بینشی از منظره تهدید ایران بدون آن ناقص است APT42 (با نام مستعار بچه گربه جذاب) ، که است معروف به دلیل تلاش های دقیق مهندسی اجتماعی و تلاش های مربوط به ایجاد گزارش برای برداشت اعتبار و ارائه بدافزارهای مخرب برای سوءاستفاده از داده ها.
بازیگر تهدید ، به ازای هر ماندگار ، صفحات ورود به سیستم جعلی را به عنوان Google ، Microsoft و Yahoo! مستقر کرد. به عنوان بخشی از کمپین های برداشت اعتبار خود ، استفاده از سایت های Google و Dropbox برای هدایت اهداف برای جعل Google با صفحات فرود یا صفحات ورود به سیستم.
در کل ، شرکت امنیت سایبری اعلام کرد که بیش از 20 خانواده بدافزار اختصاصی – از جمله قطره های ، بارگیری کننده ها و پشتوانه ها – توسط بازیگران ایرانی در کمپین های خاورمیانه در سال 2024 استفاده می شود. APT34 (AKA Oilrig) در حملات هدف قرار دادن نهادهای دولتی عراق.
مندیان گفت: “از آنجا که بازیگران تهدید ایران و نه همچنان به دنبال عملیات سایبری هستند که با منافع رژیم ایران مطابقت دارد ، آنها روشهای خود را برای سازگاری با چشم انداز امنیتی فعلی تغییر می دهند.”
