بر اساس گزارشی که دیروز توسط پروفپوینت منتشر شده، گروهی از هکرهای مرتبط با سپاه پاسداران (به نام UNK_CraftyCamel) در اواخر اکتبر ۲۰۲۴ اقدام به حملهای هدفمند علیه بخش هوانوردی و ارتباطات ماهوارهای امارات متحده عربی کردهاند.
هکرها با نفوذ به حساب ایمیل یک شرکت الکترونیکی هندی به نام INDIC Electronics، پیامهای فیشینگ برای کمتر از پنج سازمان در امارات ارسال کردهاند. مهاجمان با سوءاستفاده از اعتماد که میان این شرکت و قربانیان وجود داشته، توانستهاند پیامهای سفارشیشده برای هر هدف ارسال کنند. این پیامها حاوی لینکهایی به دامنه جعلی indicelectronics[.]net بوده که فایلهای مخرب را منتقل میکرده است. آدرس IP استفاده شده 46.30.190[.]96 بوده و متعلق به سرویس میزبانی CrownCloud است.
فایلهای ارسالی شامل یک فایل ZIP حاوی یک فایل XLS (که در واقع یک فایل LNK با پسوند دوگانه بوده) و دو فایل PDF بودهاند. این فایلهای PDF در واقع polyglot (چندگانه) بودهاند - یکی PDF با HTA و دیگری PDF با ZIP. فایل LNK ابتدا cmd.exe را اجرا کرده و سپس با mshta.exe فایل PDF/HTA را اجرا میکند. در نهایت، این زنجیره به نصب یک بکدور (درب پشتی) به نام Sosano منجر شده که با زبان Go نوشته شده است. این بدافزار با سرور C2 در آدرس bokhoreshonline[.]com (با IP 104.238.57[.]61) ارتباط برقرار میکند. این بدافزار میتوانسته دستوراتی مانند دریافت اطلاعات دایرکتوریها، اجرای دستورات شل، و دانلود و اجرای فایلهای دیگر را انجام دهد.
محققان پروفپوینت شباهتهای تاکتیکی و تکنیکی این حملات را با فعالیتهای گروههای TA451 و TA455 شناسایی کردهاند که پیشتر به سپاه پاسداران نسبت داده شدهاند. این گروهها قبلاً نیز صنایع هوافضا را هدف قرار دادهاند. TA451 و UNK_CraftyCamel هر دو از فایلهای HTA در حملات هدفمند در امارات استفاده کردهاند و TA455 و UNK_CraftyCamel ترجیح میدهند با پیشنهادات تجاری B2B به اهداف خود نزدیک شوند.
https://www.proofpoint.com/us/blog/threat-insight/call-it-what-you-want-threat-actor-delivers-highly-targeted-multistage-polyglot
@NarimanGharib
هکرها با نفوذ به حساب ایمیل یک شرکت الکترونیکی هندی به نام INDIC Electronics، پیامهای فیشینگ برای کمتر از پنج سازمان در امارات ارسال کردهاند. مهاجمان با سوءاستفاده از اعتماد که میان این شرکت و قربانیان وجود داشته، توانستهاند پیامهای سفارشیشده برای هر هدف ارسال کنند. این پیامها حاوی لینکهایی به دامنه جعلی indicelectronics[.]net بوده که فایلهای مخرب را منتقل میکرده است. آدرس IP استفاده شده 46.30.190[.]96 بوده و متعلق به سرویس میزبانی CrownCloud است.
فایلهای ارسالی شامل یک فایل ZIP حاوی یک فایل XLS (که در واقع یک فایل LNK با پسوند دوگانه بوده) و دو فایل PDF بودهاند. این فایلهای PDF در واقع polyglot (چندگانه) بودهاند - یکی PDF با HTA و دیگری PDF با ZIP. فایل LNK ابتدا cmd.exe را اجرا کرده و سپس با mshta.exe فایل PDF/HTA را اجرا میکند. در نهایت، این زنجیره به نصب یک بکدور (درب پشتی) به نام Sosano منجر شده که با زبان Go نوشته شده است. این بدافزار با سرور C2 در آدرس bokhoreshonline[.]com (با IP 104.238.57[.]61) ارتباط برقرار میکند. این بدافزار میتوانسته دستوراتی مانند دریافت اطلاعات دایرکتوریها، اجرای دستورات شل، و دانلود و اجرای فایلهای دیگر را انجام دهد.
محققان پروفپوینت شباهتهای تاکتیکی و تکنیکی این حملات را با فعالیتهای گروههای TA451 و TA455 شناسایی کردهاند که پیشتر به سپاه پاسداران نسبت داده شدهاند. این گروهها قبلاً نیز صنایع هوافضا را هدف قرار دادهاند. TA451 و UNK_CraftyCamel هر دو از فایلهای HTA در حملات هدفمند در امارات استفاده کردهاند و TA455 و UNK_CraftyCamel ترجیح میدهند با پیشنهادات تجاری B2B به اهداف خود نزدیک شوند.
https://www.proofpoint.com/us/blog/threat-insight/call-it-what-you-want-threat-actor-delivers-highly-targeted-multistage-polyglot
@NarimanGharib