สายลับไซเบอร์ 'Seedworm' ของอิหร่านมุ่งเป้าไปที่ Telcos และ ISP ของแอฟริกา

สายลับไซเบอร์ 'Seedworm' ของอิหร่านมุ่งเป้าไปที่ Telcos และ ISP ของแอฟริกา

ประทับเวลา: 20 ธันวาคม 2023 12:25 น.
โหนดต้นทาง: 2413244

กลุ่มจารกรรมทางไซเบอร์ที่ได้รับการสนับสนุนจากอิหร่านกำลังมุ่งเป้าไปที่บริษัทโทรคมนาคมในแอฟริกาเหนือและแอฟริกาตะวันออก

ตามที่นักวิจัยด้านความปลอดภัยของ Symantec ระบุว่า การโจมตีทางไซเบอร์ครั้งล่าสุดโดยภัยคุกคามขั้นสูงแบบถาวร (APT) ที่เรียกว่า Seedworm (หรือที่รู้จักในชื่อ Seedworm) น้ำโคลน, APT34, แครมบัส, ลูกแมวเฮลิกซ์ หรือ แท่นขุดเจาะน้ำมัน) กำหนดเป้าหมายไปที่องค์กรภาคโทรคมนาคมในอียิปต์ ซูดาน และแทนซาเนีย โดยเฉพาะอย่างยิ่งองค์กรภาคโทรคมนาคมแห่งหนึ่ง ซึ่งก่อนหน้านี้ถูกแทรกซึมโดย Seedworm เมื่อต้นปี 2023 แต่ยังไม่มีการระบุชื่อ กำลังเผชิญกับการโจมตีที่รุนแรงครั้งล่าสุด

การเล่นพลังของ Seedworm (เปลือก)

หลักฐานแรกของกิจกรรมที่เป็นอันตรายมาจากการเรียกใช้โค้ด PowerShell เพื่อเชื่อมต่อกับเฟรมเวิร์กคำสั่งและการควบคุม (C2) ที่เรียกว่า MuddyC2Go ซึ่งเป็นโครงสร้างพื้นฐานที่นักวิจัยได้เชื่อมโยงกับ Seedworm ก่อนหน้านี้

“ผู้โจมตียังใช้เครื่องมือการเข้าถึงระยะไกล SimpleHelp และ Venom Proxy ซึ่งก่อนหน้านี้เกี่ยวข้องกับกิจกรรมของ Seedworm รวมถึงการใช้เครื่องมือบันทึกคีย์ที่กำหนดเอง และเครื่องมืออื่น ๆ ที่เปิดเผยต่อสาธารณะและเครื่องมือที่อาศัยอยู่นอกพื้นที่” ไซแมนเทค นักวิจัยรายงานในการวิเคราะห์การโจมตีทางไซเบอร์เมื่อวันที่ 19 ธันวาคม.

การอยู่อาศัยนอกพื้นที่หมายถึงการใช้เทคโนโลยีที่มีจำหน่ายทั่วไปและแอปพลิเคชันระบบปฏิบัติการดั้งเดิมเพื่อซ่อนกิจกรรมที่เป็นอันตราย การใช้แอปพลิเคชันที่ถูกต้องตามกฎหมายในทางที่ผิด ผู้โจมตีจะหลีกเลี่ยงการสร้างการรับส่งข้อมูลหรือกิจกรรมที่ผิดปกติบนเครือข่ายที่ถูกบุกรุก ซึ่งจะช่วยลดความเสี่ยงในการตรวจจับ

Dark Reading ติดต่อ Symantec เพื่อขอความคิดเห็นเกี่ยวกับรายละเอียดการโจมตีครั้งล่าสุดโดย Seedworm รวมถึงข้อเสนอแนะสำหรับมาตรการตอบโต้ที่เป็นไปได้ 

เมล็ดพันธุ์แห่งความสงสัย

Seedworm เปิดใช้งานมาหกปีแล้วตั้งแต่ปี 2017 และก่อนหน้านี้ เชื่อมโยงกับกระทรวงข่าวกรองและความมั่นคงของอิหร่าน (MOIS). โดยทั่วไปกลุ่มนี้อาศัยอีเมลฟิชชิ่งแบบหอกที่มีไฟล์เก็บถาวรหรือลิงก์ไปยังไฟล์เก็บถาวร ซึ่งรวมถึงเครื่องมือการดูแลระบบระยะไกลที่ถูกต้องตามกฎหมายมากมาย รวมถึง SimpleHelp และยูทิลิตี้การเข้าถึงระยะไกล AnyDesk

หากเป้าหมายเปิดไฟล์ภายในไฟล์เก็บถาวร มันจะติดตั้งเครื่องมือการดูแลระบบระยะไกลที่ช่วยให้ผู้โจมตีเรียกใช้เครื่องมือและมัลแวร์เพิ่มเติมได้ ล่าสุด กลุ่มได้เริ่มปลูกฝังเพย์โหลดของมัลแวร์ภายในไฟล์ RAR ที่มีการป้องกันด้วยรหัสผ่าน เพื่อพยายามหลบเลี่ยงการตรวจจับโดยผลิตภัณฑ์รักษาความปลอดภัยอีเมลในองค์กรเป้าหมาย ตามข้อมูลล่าสุด โพสต์บล็อก โดยบริษัทวิจัยด้านความปลอดภัย Deep Instinct

ไฟล์ที่เป็นอันตรายล่าสุดที่ถูกกลุ่มส่งไปนั้นมีสคริปต์ PowerShell ฝังอยู่ซึ่งจะเชื่อมต่อกับ MuddyC2Go โดยอัตโนมัติ วิธีการนี้ทำให้ผู้โจมตีไม่จำเป็นต้องดำเนินการสคริปต์ด้วยตนเอง

นักวิจัยของไซแมนเทคพบว่า Seedworm มักจะกำหนดเป้าหมายไปที่องค์กรภาครัฐและเอกชนในภาคส่วนต่างๆ รวมถึงโทรคมนาคม รัฐบาลท้องถิ่น กลาโหม น้ำมันและก๊าซธรรมชาติ เป้าหมายของกลุ่มส่วนใหญ่เป็นประเทศเพื่อนบ้านของอิหร่านในภูมิภาคตะวันออกกลาง รวมถึงตุรกี อิสราเอล อิรัก สหรัฐอาหรับเอมิเรตส์ และปากีสถาน

การค้าทางไซเบอร์ของอิหร่าน

กลุ่มจารกรรมทางไซเบอร์ของอิหร่านมีชื่อเสียงจากการก่อตั้ง บุคคลเท็จบน LinkedIn และที่อื่น ๆ เพื่อชักชวนเป้าหมายให้เปิดลิงก์หรือไฟล์แนบที่เป็นอันตรายแทนที่จะอาศัยช่องโหว่ที่ไม่ได้รับการแพตช์เพื่อแฮ็กเข้าสู่องค์กรเป้าหมาย

อิหร่านเริ่มลงทุนอย่างหนักในโครงการปฏิบัติการทางไซเบอร์หลังจากการค้นพบสิ่งที่น่าอับอาย Stuxnet อาวุธจารกรรมทางไซเบอร์ในปี 2010 มัลแวร์ Stuxnet ได้แพร่เชื้อไปยังระบบ supervisory control and data Acquisition (SCADA) ที่โรงงานนิวเคลียร์ของอิหร่าน โดยเฉพาะอย่างยิ่งเครื่องหมุนเหวี่ยงเสริมสมรรถนะยูเรเนียม และทำลายการดำเนินงานของพวกเขา นักวิจัยด้านความปลอดภัยระบุว่ามัลแวร์ดังกล่าวมาจากปฏิบัติการข่าวกรองร่วมของสหรัฐฯ และอิสราเอล

นับตั้งแต่นั้นมา กองกำลังพิทักษ์การปฏิวัติอิสลาม (IRGC) ของอิหร่านก็มีความเชื่อมโยงกับการโจมตีแบบก่อกวนและทำลายล้าง เช่น Shamoon มัลแวร์ไวเปอร์โจมตีบริษัทน้ำมันและก๊าซในซาอุดิอาระเบียและกาตาร์ ในทางตรงกันข้าม MOIS เป็นหน่วยข่าวกรองพลเรือนที่มุ่งเน้นไปที่การได้มาซึ่งข้อมูลลับโดยส่วนใหญ่ — Seedworm ได้รับการเสนอชื่อให้เป็นองค์ประกอบรองหรือหน่วยภายใน MOIS ของอิหร่าน

ประทับเวลา:

เพิ่มเติมจาก การอ่านที่มืด