🔴 کمپانی ESET گزارشی در خصوص فعالیت APTها در سه ماهه دوم و سوم سال 2024 منتشر کرده.
این گزارش بطور کلی در خصوص ایران، روسیه، چین و کره شمالی هستش.
در خصوص ایران به موارد زیر اشاره شده:
- گروه MuddyWater ، تغییراتی رو در فرایند حرکات جانبی و فعالیتهایی که بصورت مستقیم با هدف درگیر میشن، دادن. این امر نشون دهنده تغییر جالب درTTP اوناست که معمولا روی سرقت اعتبارنامه ها یا حفظ دسترسی به یک سیستم خاص بوده.
- در چندین مورد، مشاهده شده که MuddyWater از اشتراکهای داخلی شبکه به عنوان مکانهای میانی برای C2 استفاده کردن. اپراتورهای MuddyWater، اغلب از طریق دسترسی خط فرمان به سیستمها، ریکان و جمع آوری اعتبارنامهها، اونارو به این C2های میانی منتقل میکنن و بعدش اونارو استخراج میکنن.
- در یک مورد قابل توجه، اپراتورهای MuddyWater به مدت ۱۳ ساعت با استفاده از ابزارهای مختلفی (مانند MirrorDump، ProcDump، PowerSploit و Impersonate) سعی در استخراج حافظه فرآیند LSASS داشتن، اما ظاهراً موفقیتی حاصل نشد. این تغییر به حرکت جانبی احتمالاً نشون دهندهی درک بهتر تواناییهای دفاعی شبکه و بلوغ در قابلیتهای تهاجمی سایبری هستش.
- اهدافی که روشون کار کردن از کنیا، غنا، زامبیا و اسرائیل بوده.
- زیرگروه OilRig با نام BladedFeline جاسوسی سایبری علیه همسایگان ایران از جمله عراق و آذربایجان رو با نرخ بالایی از توسعه و استقرار بدافزار انجام داده. بدافزارهاشون Whisper, Spearal, Optimizer
- گروه Ballistic Bobcat که با نام APT35 شناخته میشه و با APT42 همپوشانی داره، اهدافی رو در فرانسه و آمریکا هدف قرار داده. تکنیکشون هم اغلب تزریق کد به پروسسها و دور زدن محصولات امنیتی از جمله EDRها بوده.
#هکرهای_ایرانی
#APT #ESET
🆔 @onhex_ir
➡️ ALL Link
این گزارش بطور کلی در خصوص ایران، روسیه، چین و کره شمالی هستش.
در خصوص ایران به موارد زیر اشاره شده:
- گروه MuddyWater ، تغییراتی رو در فرایند حرکات جانبی و فعالیتهایی که بصورت مستقیم با هدف درگیر میشن، دادن. این امر نشون دهنده تغییر جالب درTTP اوناست که معمولا روی سرقت اعتبارنامه ها یا حفظ دسترسی به یک سیستم خاص بوده.
- در چندین مورد، مشاهده شده که MuddyWater از اشتراکهای داخلی شبکه به عنوان مکانهای میانی برای C2 استفاده کردن. اپراتورهای MuddyWater، اغلب از طریق دسترسی خط فرمان به سیستمها، ریکان و جمع آوری اعتبارنامهها، اونارو به این C2های میانی منتقل میکنن و بعدش اونارو استخراج میکنن.
- در یک مورد قابل توجه، اپراتورهای MuddyWater به مدت ۱۳ ساعت با استفاده از ابزارهای مختلفی (مانند MirrorDump، ProcDump، PowerSploit و Impersonate) سعی در استخراج حافظه فرآیند LSASS داشتن، اما ظاهراً موفقیتی حاصل نشد. این تغییر به حرکت جانبی احتمالاً نشون دهندهی درک بهتر تواناییهای دفاعی شبکه و بلوغ در قابلیتهای تهاجمی سایبری هستش.
- اهدافی که روشون کار کردن از کنیا، غنا، زامبیا و اسرائیل بوده.
- زیرگروه OilRig با نام BladedFeline جاسوسی سایبری علیه همسایگان ایران از جمله عراق و آذربایجان رو با نرخ بالایی از توسعه و استقرار بدافزار انجام داده. بدافزارهاشون Whisper, Spearal, Optimizer
- گروه Ballistic Bobcat که با نام APT35 شناخته میشه و با APT42 همپوشانی داره، اهدافی رو در فرانسه و آمریکا هدف قرار داده. تکنیکشون هم اغلب تزریق کد به پروسسها و دور زدن محصولات امنیتی از جمله EDRها بوده.
#هکرهای_ایرانی
#APT #ESET
🆔 @onhex_ir
➡️ ALL Link