กลุ่มจารกรรมทางไซเบอร์ที่ได้รับการสนับสนุนจากอิหร่านกำลังมุ่งเป้าไปที่บริษัทโทรคมนาคมในแอฟริกาเหนือและแอฟริกาตะวันออก
ตามที่นักวิจัยด้านความปลอดภัยของ Symantec ระบุว่า การโจมตีทางไซเบอร์ครั้งล่าสุดโดยภัยคุกคามขั้นสูงแบบถาวร (APT) ที่เรียกว่า Seedworm (หรือที่รู้จักในชื่อ Seedworm) น้ำโคลน, APT34, แครมบัส, ลูกแมวเฮลิกซ์ หรือ แท่นขุดเจาะน้ำมัน) กำหนดเป้าหมายไปที่องค์กรภาคโทรคมนาคมในอียิปต์ ซูดาน และแทนซาเนีย โดยเฉพาะอย่างยิ่งองค์กรภาคโทรคมนาคมแห่งหนึ่ง ซึ่งก่อนหน้านี้ถูกแทรกซึมโดย Seedworm เมื่อต้นปี 2023 แต่ยังไม่มีการระบุชื่อ กำลังเผชิญกับการโจมตีที่รุนแรงครั้งล่าสุด
การเล่นพลังของ Seedworm (เปลือก)
หลักฐานแรกของกิจกรรมที่เป็นอันตรายมาจากการเรียกใช้โค้ด PowerShell เพื่อเชื่อมต่อกับเฟรมเวิร์กคำสั่งและการควบคุม (C2) ที่เรียกว่า MuddyC2Go ซึ่งเป็นโครงสร้างพื้นฐานที่นักวิจัยได้เชื่อมโยงกับ Seedworm ก่อนหน้านี้
“ผู้โจมตียังใช้เครื่องมือการเข้าถึงระยะไกล SimpleHelp และ Venom Proxy ซึ่งก่อนหน้านี้เกี่ยวข้องกับกิจกรรมของ Seedworm รวมถึงการใช้เครื่องมือบันทึกคีย์ที่กำหนดเอง และเครื่องมืออื่น ๆ ที่เปิดเผยต่อสาธารณะและเครื่องมือที่อาศัยอยู่นอกพื้นที่” ไซแมนเทค นักวิจัยรายงานในการวิเคราะห์การโจมตีทางไซเบอร์เมื่อวันที่ 19 ธันวาคม.
การอยู่อาศัยนอกพื้นที่หมายถึงการใช้เทคโนโลยีที่มีจำหน่ายทั่วไปและแอปพลิเคชันระบบปฏิบัติการดั้งเดิมเพื่อซ่อนกิจกรรมที่เป็นอันตราย การใช้แอปพลิเคชันที่ถูกต้องตามกฎหมายในทางที่ผิด ผู้โจมตีจะหลีกเลี่ยงการสร้างการรับส่งข้อมูลหรือกิจกรรมที่ผิดปกติบนเครือข่ายที่ถูกบุกรุก ซึ่งจะช่วยลดความเสี่ยงในการตรวจจับ
Dark Reading ติดต่อ Symantec เพื่อขอความคิดเห็นเกี่ยวกับรายละเอียดการโจมตีครั้งล่าสุดโดย Seedworm รวมถึงข้อเสนอแนะสำหรับมาตรการตอบโต้ที่เป็นไปได้
เมล็ดพันธุ์แห่งความสงสัย
Seedworm เปิดใช้งานมาหกปีแล้วตั้งแต่ปี 2017 และก่อนหน้านี้ เชื่อมโยงกับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน (MOIS). โดยทั่วไปกลุ่มนี้อาศัยอีเมลฟิชชิ่งแบบหอกที่มีไฟล์เก็บถาวรหรือลิงก์ไปยังไฟล์เก็บถาวร ซึ่งรวมถึงเครื่องมือการดูแลระบบระยะไกลที่ถูกต้องตามกฎหมายมากมาย รวมถึง SimpleHelp และยูทิลิตี้การเข้าถึงระยะไกล AnyDesk
หากเป้าหมายเปิดไฟล์ภายในไฟล์เก็บถาวร มันจะติดตั้งเครื่องมือการดูแลระบบระยะไกลที่ช่วยให้ผู้โจมตีเรียกใช้เครื่องมือและมัลแวร์เพิ่มเติมได้ ล่าสุด กลุ่มได้เริ่มปลูกฝังเพย์โหลดของมัลแวร์ภายในไฟล์ RAR ที่มีการป้องกันด้วยรหัสผ่าน เพื่อพยายามหลบเลี่ยงการตรวจจับโดยผลิตภัณฑ์รักษาความปลอดภัยอีเมลในองค์กรเป้าหมาย ตามข้อมูลล่าสุด โพสต์บล็อก โดยบริษัทวิจัยด้านความปลอดภัย Deep Instinct
ไฟล์ที่เป็นอันตรายล่าสุดที่ถูกกลุ่มส่งไปนั้นมีสคริปต์ PowerShell ฝังอยู่ซึ่งจะเชื่อมต่อกับ MuddyC2Go โดยอัตโนมัติ วิธีการนี้ทำให้ผู้โจมตีไม่จำเป็นต้องดำเนินการสคริปต์ด้วยตนเอง
นักวิจัยของไซแมนเทคพบว่า Seedworm มักจะกำหนดเป้าหมายไปที่องค์กรภาครัฐและเอกชนในภาคส่วนต่างๆ รวมถึงโทรคมนาคม รัฐบาลท้องถิ่น กลาโหม น้ำมันและก๊าซธรรมชาติ เป้าหมายของกลุ่มส่วนใหญ่เป็นประเทศเพื่อนบ้านของอิหร่านในภูมิภาคตะวันออกกลาง รวมถึงตุรกี อิสราเอล อิรัก สหรัฐอาหรับเอมิเรตส์ และปากีสถาน
การค้าทางไซเบอร์ของอิหร่าน
กลุ่มจารกรรมทางไซเบอร์ของอิหร่านมีชื่อเสียงจากการก่อตั้ง บุคคลเท็จบน LinkedIn และที่อื่น ๆ เพื่อชักชวนเป้าหมายให้เปิดลิงก์หรือไฟล์แนบที่เป็นอันตรายแทนที่จะอาศัยช่องโหว่ที่ไม่ได้รับการแพตช์เพื่อแฮ็กเข้าสู่องค์กรเป้าหมาย
อิหร่านเริ่มลงทุนอย่างหนักในโครงการปฏิบัติการทางไซเบอร์หลังจากการค้นพบสิ่งที่น่าอับอาย Stuxnet อาวุธจารกรรมทางไซเบอร์ในปี 2010 มัลแวร์ Stuxnet ได้แพร่เชื้อไปยังระบบ supervisory control and data Acquisition (SCADA) ที่โรงงานนิวเคลียร์ของอิหร่าน โดยเฉพาะอย่างยิ่งเครื่องหมุนเหวี่ยงเสริมสมรรถนะยูเรเนียม และทำลายการดำเนินงานของพวกเขา นักวิจัยด้านความปลอดภัยระบุว่ามัลแวร์ดังกล่าวมาจากปฏิบัติการข่าวกรองร่วมของสหรัฐฯ และอิสราเอล
นับตั้งแต่นั้นมา กองกำลังพิทักษ์การปฏิวัติอิสลาม (IRGC) ของอิหร่านก็มีความเชื่อมโยงกับการโจมตีแบบก่อกวนและทำลายล้าง เช่น Shamoon มัลแวร์ไวเปอร์โจมตีบริษัทน้ำมันและก๊าซในซาอุดิอาระเบียและกาตาร์ ในทางตรงกันข้าม MOIS เป็นหน่วยข่าวกรองพลเรือนที่มุ่งเน้นไปที่การได้มาซึ่งข้อมูลลับโดยส่วนใหญ่ — Seedworm ได้รับการเสนอชื่อให้เป็นองค์ประกอบรองหรือหน่วยภายใน MOIS ของอิหร่าน
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/iranian-seedworm-cyber-spies-target-african-telcos-isps
- :มี
- :เป็น
- 19
- 2010
- 2017
- 2023
- a
- เข้า
- ตาม
- การครอบครอง
- ข้าม
- คล่องแคล่ว
- อย่างกระตือรือร้น
- อยากทำกิจกรรม
- เพิ่มเติม
- การบริหาร
- สูง
- ภัยคุกคามต่อเนื่องขั้นสูง
- แอฟริกา
- แอฟริกัน
- กับ
- อาคา
- ช่วยให้
- ด้วย
- an
- การวิเคราะห์
- และ
- การใช้งาน
- เข้าใกล้
- APT
- อาหรับ
- อาหรับเอมิเรตส์
- เอกสารเก่า
- หอจดหมายเหตุ
- เป็น
- AS
- ที่เกี่ยวข้อง
- At
- การโจมตี
- อัตโนมัติ
- ใช้ได้
- หลีกเลี่ยง
- รับ
- เริ่ม
- กำลัง
- สั่ง
- แต่
- by
- ที่เรียกว่า
- โทร
- มา
- พลเรือน
- รหัส
- ความเห็น
- บริษัท
- ที่ถูกบุกรุก
- เชื่อมต่อ
- เชื่อมต่อ
- บรรจุ
- ตรงกันข้าม
- ควบคุม
- การสร้าง
- ประเพณี
- ไซเบอร์
- cyberattacks
- การจารกรรมทางไซเบอร์
- ข้อมูล
- ลึก
- ป้องกัน
- รายละเอียด
- การตรวจพบ
- การค้นพบ
- ซึ่งทำให้ยุ่ง
- ก่อน
- ตะวันออก
- แอฟริกาตะวันออก
- อียิปต์
- ธาตุ
- ที่อื่น ๆ
- อีเมล
- ความปลอดภัยของอีเมล
- อีเมล
- ที่ฝัง
- เอมิเรต
- การตกแต่ง
- การสร้าง
- อีเธอร์ (ETH)
- หลบเลี่ยง
- หลักฐาน
- ดำเนินการ
- การปฏิบัติ
- สิ่งอำนวยความสะดวก
- ไกล
- เนื้อไม่มีมัน
- ไฟล์
- บริษัท
- ชื่อจริง
- โดยมุ่งเน้น
- ดังต่อไปนี้
- สำหรับ
- พบ
- กรอบ
- ราคาเริ่มต้นที่
- GAS
- รัฐบาล
- บัญชีกลุ่ม
- กลุ่ม
- ยาม
- สับ
- มี
- หนัก
- ซ่อน
- HTTPS
- in
- ประกอบด้วย
- รวมทั้ง
- น่าอับอาย
- แทรกซึม
- โครงสร้างพื้นฐาน
- ภายใน
- Intelligence
- ตั้งใจว่า
- เข้าไป
- การลงทุน
- อิหร่าน
- ชาวอิหร่าน
- ประเทศอิรัก
- อิสลาม
- อิสราเอล
- ชาวอิสราเอล
- IT
- ITS
- ร่วมกัน
- jpg
- ที่รู้จักกัน
- ส่วนใหญ่
- ล่าสุด
- ถูกกฎหมาย
- ที่เชื่อมโยง
- การเชื่อมโยง
- ในประเทศ
- รัฐบาลท้องถิ่น
- ที่เป็นอันตราย
- มัลแวร์
- คู่มือ
- กลาง
- ตะวันออกกลาง
- กระทรวง
- ข้อมูลเพิ่มเติม
- ส่วนใหญ่
- ที่มีชื่อ
- พื้นเมือง
- โดยธรรมชาติ
- ก๊าซธรรมชาติ
- จำเป็นต้อง
- เพื่อนบ้าน
- เครือข่าย
- ทางทิศเหนือ
- นิวเคลียร์
- of
- น้ำมัน
- น้ำมันและก๊าซ
- on
- ONE
- เปิด
- เปิด
- การดำเนินงาน
- ระบบปฏิบัติการ
- การดำเนินการ
- or
- ใบสั่ง
- organizacja
- องค์กร
- อื่นๆ
- ปากีสถาน
- ในสิ่งที่สนใจ
- โดยเฉพาะ
- การเพาะปลูก
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เป็นไปได้
- PowerShell
- การปฏิบัติ
- ก่อนหน้านี้
- ส่วนตัว
- ผลิตภัณฑ์
- โครงการ
- หนังสือมอบฉันทะ
- สาธารณชน
- กาตาร์
- ค่อนข้าง
- การอ่าน
- เมื่อเร็ว ๆ นี้
- เมื่อเร็ว ๆ นี้
- ลด
- หมายถึง
- ภูมิภาค
- อาศัย
- รีโมท
- การเข้าถึงระยะไกล
- ลบ
- รายงาน
- การวิจัย
- นักวิจัย
- การปฏิวัติ
- ความเสี่ยง
- วิ่ง
- s
- ซาอุดีอาระเบีย
- ซาอุดิอาราเบีย
- ต้นฉบับ
- สคริปต์
- ภาค
- ความปลอดภัย
- นักวิจัยด้านความปลอดภัย
- บริการ
- เปลือก
- ตั้งแต่
- หก
- So
- จนถึงตอนนี้
- สายลับ
- ข้อความที่เริ่ม
- อย่างเช่น
- ซูดาน
- ระบบ
- ระบบ
- เป้า
- เป้าหมาย
- กำหนดเป้าหมาย
- เป้าหมาย
- เทคโนโลยี
- โทรคมนาคม
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- ดังนั้น
- นี้
- การคุกคาม
- ไปยัง
- เครื่องมือ
- เครื่องมือ
- การจราจร
- ตุรกี
- เป็นปกติ
- หน่วย
- พร้อมใจกัน
- สหรัฐอาหรับ
- สหรัฐอาหรับเอมิเรตส์
- ไม่มีชื่อ
- ผิดปกติ
- us
- ใช้
- การใช้
- ยูทิลิตี้
- ต่างๆ
- พิษ
- ช่องโหว่
- ดี
- ที่
- กับ
- ภายใน
- ปี
- ลมทะเล