نیروهای پلیس در سراسر جهان به طور فزاینده ای از ابزارهای هک برای شناسایی و ردیابی معترضان، افشای اسرار مخالفان سیاسی و تبدیل رایانه ها و تلفن های فعالان به باگ های غیرقابل توقف استفاده می کنند. اکنون، سرنخهای جدید در پروندهای در هند، اجرای قانون را به یک کمپین هکری مرتبط میکند که از این ابزارها برای برداشتن گامی وحشتناک استفاده میکرد: جاسازی سوابق جنایی جعلی در رایانههای اهداف، که همان پلیس سپس از آن به عنوان زمینهای برای دستگیری و اعدام استفاده کرد. آنها را زندانی می کرد.
بیش از یک سال پیش، تحلیلگران پزشکی قانونی فاش کردند که هکرهای ناشناس شواهدی را در رایانههای حداقل دو فعال که در سال 2018 در پونا، هند دستگیر شدهاند، پیدا کردهاند که هر دو به همراه 13 متهم دیگر به تروریسم در زندان بودند. ساختن. محققان شرکت امنیتی Sentinel One و شرکتهای غیرانتفاعی Citizen Lab و عفو بینالملل از آن زمان دستکاری شواهد را با یک عملیات هک بزرگتر که صدها نفر را برای نزدیک به یک دهه هدف قرار داده است، با استفاده از ایمیلهای فیشینگ برای آلوده کردن رایانههای هدف مرتبط کردهاند. نرم افزارهای جاسوسی و همچنین ابزارهای هک گوشی های هوشمند. توسط پیمانکار هک اسرائیلی NSO Group فروخته شد. اما تنها اکنون است که محققان Sentinel One پیوندهایی را بین هکرها و یک آژانس دولتی کشف کردهاند: کسی نیست جز همان آژانس پلیس هند در شهر پونا که چندین فعال را بر اساس شواهد ساختگی دستگیر کرد.
این افراد دنبال تروریست ها نمی روند. آنها به دنبال مدافعان حقوق بشر و روزنامه نگاران هستند. و این درست نیست.”
یکی از کارمندان ارائه دهنده ایمیل که شواهدی را به اشتراک گذاشت که پلیس را با کمپین اصلاح شده هک فیل مرتبط می کند
خوان آندرس گوئررو ساعد، محقق امنیتی Sentinel One، که به همراه همکارش تام هیگل، یافتههای خود را به Black Hat ارائه میکند، گفت: «ارتباط قابل اثباتی بین افرادی که این افراد را دستگیر کردند و افرادی که شواهد ارائه کردند وجود دارد. . . کنفرانس ایمنی در ماه اوت “این فراتر از خطر اخلاقی است. این فراتر از ظلم است. بنابراین ما در تلاش هستیم تا حد امکان داده ها را به امید کمک به این قربانیان ارائه دهیم.
یافتههای جدید Sentinel One که پلیس شهر پونا را به کمپین هک طولانیمدت مرتبط میکند، که این شرکت آن را Modified Elephant نامیده است، بر دو هدف کمپین خاص متمرکز است: Rona Wilson و Varvara Rao. هر دوی آنها فعالان حقوق بشر هستند که در سال 2018 بخشی از گروهی به نام Bhima Koregaon 16 بودند، نام روستایی که در آن خشونت بین هندوها و دالیت ها – گروهی که قبلاً به عنوان “غیرقابل لمس” شناخته می شد، نامگذاری شده است. آنها در آغاز همان سال زندانی شدند. (یکی از 16 متهم، کشیش 84 ساله یسوعی، استن سوامی، سال گذشته پس از ابتلا به کووید-19 در زندان درگذشت. رائو، که 81 سال دارد و وضعیت سلامتی خوبی ندارد، با قرار وثیقه پزشکی آزاد شد که در آینده منقضی می شود. ماه ها. از 14 نفر دیگر، تنها یک نفر به قید وثیقه آزاد شده است.)
اوایل سال گذشته، آرسنال مشاور، یک شرکت پزشکی قانونی دیجیتال که به نمایندگی از متهمان کار می کند، محتویات لپ تاپ ویلسون را با متهم دیگری، سورندرا گودلینگ، وکیل حقوق بشر، تجزیه و تحلیل کرد. تحلیلگران آرسنال دریافتند که شواهد به وضوح در هر دو دستگاه ساخته شده است. در مورد ویلسون، بدافزار معروف به NetWire 32 فایل را به پوشه ای روی هارد دیسک رایانه اضافه کرد، از جمله نامه ای که در آن به نظر می رسید ویلسون با یک گروه ممنوعه مائوئیست برای ترور نخست وزیر توطئه می کند. هندی نارندرا مودی. این نامه در واقع با نسخه ای از مایکروسافت ورد ساخته شده بود که ویلسون هرگز از آن استفاده نکرده بود و حتی هرگز آن را روی رایانه خود نصب نکرده بود. آرسنال همچنین متوجه شد که کامپیوتر ویلسون برای نصب بدافزار NetWire پس از باز کردن یک پیوست ارسال شده از حساب ایمیل Varvara Rao که خود توسط همان هکرها در معرض خطر قرار گرفته بود، هک شده است. مارک اسپنسر، رئیس آرسنال در گزارش خود به دادگاه هند نوشت: «این یکی از جدیترین موارد دستکاری شواهدی است که آرسنال تاکنون با آن مواجه شده است.
در ماه فوریه، Sentinel One گزارش مفصلی درباره Redacted Elephant منتشر کرد که در آن بدافزار و زیرساخت سرور مورد استفاده در کمپین هک را تجزیه و تحلیل کرد تا نشان دهد که دو مورد از دستکاری بخشی از شواهد تجزیه و تحلیل شده توسط آرسنال است. هکرها صدها نفر را هدف قرار داده بودند. فعالان، روزنامهنگاران، دانشگاهیان و وکلا با ایمیلهای فیشینگ و بدافزار از اوایل سال 2012. اما در این گزارش، Sentinel One از شناسایی هر فرد یا سازمانی در پشت هکهای اصلاحشده فیل خودداری کرد و تنها نوشت: «این فعالیت به شدت با هندیها مرتبط است. منافع دولتی».
بزرگنمایی کنید / گردهمایی دوچرخه سواری توسط پرسنل پلیس در سراسر کمپین بازاریابی آگاهی «ما کلان شهر پونا را محافظت می کنیم» در 3 اکتبر 2017، در پونا، هند.
نیروهای پلیس در سراسر جهان به طور فزاینده ای از ابزارهای هک برای یافتن و نظارت بر معترضان، افشای “اسرار و تکنیک های” مخالفان سیاسی و تبدیل سیستم های رایانه ای و تلفن های اجتماعی به اشکالات اجتناب ناپذیر استفاده می کنند. اکنون، سرنخ های جدید در یک پرونده در هند، مجریان قانون را به یک کمپین بازاریابی هکری مرتبط می کند که از ابزارها برای برداشتن یک گام وحشتناک دیگر استفاده می کرد: قرار دادن اطلاعات پیشینه نادرست در سیستم های رایانه ای اهداف، که همان پلیس سپس از آن به عنوان زمینه ای برای دستگیری و دستگیری استفاده کرد. آنها را زندانی کند .
بیش از 12 ماه پیش، تحلیلگران پزشکی قانونی فاش کردند که هکرهای ناشناس شواهدی را از سیستم های رایانه ای حداقل دو افسر دستگیر شده در پونا، هند، در سال 2018 به دست آورده اند که هر یک از آنها در زندان هستند و به همراه 13 نفر دیگر آنها را جعل کرده اند. مقابله با هزینههای تروریسم، محققان آژانس امنیتی SentinelOne و سازمانهای غیرانتفاعی Citizen Lab و Amnesty Worldwide این شواهد را به یک عملیات هک گستردهتر مرتبط میکنند که هزاران نفر را برای نزدیک به یک دهه هدف قرار داده و از ایمیلهای فیشینگ گرفته تا سیستمهای کامپیوتری متمرکز آلوده را شامل میشود. ابزارهای جاسوسی و همچنین هک گوشی های هوشمند. ابزار خریداری شده توسط پیمانکار هک اسرائیلی NSO Group. با این حال، تنها محققان SentinelOne اکنون پیوندهای بین هکرها و یک نهاد رسمی را فاش کردهاند: کسی نیست جز همان شرکت پلیس هند در کلانشهر پونا که تعدادی از آنها را در ایالت دستگیر کرده است، عمدتا بر اساس شواهد ساختگی.
Juan Andres Guerrero-Saade، محقق امنیتی در SentinelOne که به همراه همکارش تام هیگل، در حال بررسی یافتههای بلک هستند، گفت: “یک ارتباط قابل اثبات بین افرادی که این افراد را دستگیر کردند و کسانی که آن را ثابت کردند وجود دارد.” کنوانسیون ایمنی در ماه اوت «از نظر اخلاقی به خطر افتاده است. این دیگر احساسی نیست. بنابراین ما تلاش می کنیم تا حد امکان دانش را به امید خدمت به این قربانیان قرار دهیم.»
تجاری 23123
یافتههای جدید SentinelOne که پلیس متروپولیتن پونا را به یک کمپین بازاریابی هک طولانیمدت مرتبط میکند، که شرکت آن را فیل اصلاحشده مینامد، از جمله دو هدف صریح کمپین بازاریابی است: رونا ویلسون و واروارا رائو. هر یک از این افراد فعالان و مدافعان حقوق بشر هستند که در سال 2018 در یک دور معروف به Bhima Koregaon 16، به نام روستای محل خشونت هندو-دالیت – گروهی که اغلب به نام “نام دارد” به زندان افتادند. کمتر غیرقابل دسترس» – در ابتدای 12 ماه رخ داد. (یکی از 16 مدافع، کشیش 84 ساله یسوعی، استن سوامی، در 12 ماه گذشته پس از ابتلا به کووید-19 در زندان درگذشت. رائو، 81 ساله و بیمار، با قرار وثیقه پزشکی آزاد شد که ماه آینده منقضی می شود (این 14 نفر) ، اوراق قرضه فقط برای یک نفر صادر شده است.)
پیش از این در 12 ماه گذشته، مشاور آرسنال، یک آژانس پزشکی قانونی دیجیتال که به نمایندگی از وکلای مدافع درگیر عمل می کند، محتویات لپ تاپ ویلسون را به همراه متهم دیگری، سورندرا گودلینگ، وکیل حقوق بشر، تجزیه و تحلیل کرد. تحلیلگران آرسنال دریافتند که شواهد به وضوح در هر دستگاه ساخته شده است. در مورد ویلسون، بدافزاری که اغلب به نام NetWire نامیده میشود، 32 رکورد داده را به پوشهای روی هارد دیسک رایانه شخصی اضافه کرده بود، همراه با نامهای که ظاهراً ویلسون را به یک گروه ممنوعه مائوئیست برای ترور نخستوزیر هند مرتبط میکرد. نارندرا مودی. داشت نقشه می کشید این نامه در واقع با یک قالب مایکروسافت نوشته شده بود که ویلسون هرگز از آن استفاده نکرده بود و حتی آن را روی رایانه خانگی خود قرار نداده بود. آرسنال همچنین متوجه شد که رایانه شخصی ویلسون پس از باز کردن یک پیوست ارسال شده از حساب ایمیل Varvara Rao که خود توسط همان هکرها در معرض خطر قرار گرفته بود، به بدافزار NetWire هک شده است. مارک اسپنسر، رئیس آرسنال در گزارش خود به دادگاه هند نوشت: “این احتمالاً یکی از بحرانی ترین شرایط مربوط به رسیدگی به شواهدی است که آرسنال تاکنون با آن روبرو بوده است.”
(بیروت) – دیده بان حقوق بشر امروز اعلام کرد که به عنوان بخشی از کمپین جاری جعل هویت و مهندسی اجتماعی، هکرهای تحت حمایت دولت ایران دو کارمند دیده بان حقوق بشر و حداقل 18 فعال برجسته، روزنامه نگار، محقق، دانشگاهیان، دیپلمات ها و سیاستمداران را کشتند. . فعالان مسائل خاورمیانه مورد هدف قرار گرفته اند.
تحقیقات دیده بان حقوق بشر این حمله فیشینگ را به نهادی مرتبط با دولت ایران به نام APT42 نسبت داد که گاهی اوقات به نام “ملوس کیتنز” شناخته می شود. تجزیه و تحلیل فنی که به طور مشترک توسط آزمایشگاه امنیتی عفو بین الملل و دیده بان حقوق بشر انجام شد، 18 قربانی دیگر را که توسط همین کمپین هدف قرار گرفتند شناسایی کرد. ایمیل ها و سایر داده های حساس حداقل سه نفر از آنها توسط هکرها مشاهده شد: یک روزنامه نگار از یک روزنامه بزرگ آمریکایی، یک مدافع حقوق زنان ساکن منطقه خلیج فارس و نیکلاس نوئه، مشاور تبلیغاتی سازمان بین المللی پناهندگان مستقر در لبنان. .
ابیر غطاس، مدیر بخش امنیت اطلاعات دیدهبان حقوق بشر، گفت: «هکرهای دولتی ایران به شدت از تاکتیکهای جمعآوری اعتبار و مهندسی اجتماعی برای دسترسی به اطلاعات حساس و کتابهای تماس گروههای جامعه مدنی و محققان در محل استفاده میکنند. رسیدن به خاورمیانه». وی افزود: این امر خطر را برای خبرنگاران و مدافعان حقوق بشر در ایران و سایر نقاط منطقه به شدت افزایش می دهد.
در مورد سه نفر که حسابهایشان به خطر افتاده است، مهاجمان به ایمیلها، آرشیوهای ذخیرهسازی ابری، تقویمها و کتابهای تماس و همچنین اجرای Google Checkout دسترسی پیدا کردند. Google Checkout سرویسی است که دادهها را از سرویسهای اولیه و ثانویه یک حساب Google صادر میکند.
چندین شرکت امنیتی کمپین های فیشینگ APT42 را گزارش کرده اند که مخالفان، گروه های جامعه مدنی و محققان در خاورمیانه را هدف قرار می دهد. بیشتر APT42 را بر اساس الگوهای هدف گیری و شواهد فنی شناسایی می کنند. سازمان هایی مانند Google، Recorded Future، Proofprint و Mandiant گروه APT42 را به مقامات ایرانی نسبت می دهند. شرکت امنیت سایبری ایالات متحده Mandiant این فعالیت ها را به سپاه پاسداران انقلاب اسلامی ایران در ماه سپتامبر نسبت داد. شناسایی و نامگذاری یک عامل تهدید به محققان کمک میکند تا فعالیتهای سایبری شبهنظامی را شناسایی، رهگیری و مرتبط کنند.
در اکتبر 2022، یک کارمند دیدهبان حقوق بشر که در خاورمیانه و شمال آفریقا کار میکرد، پیامهای مشکوکی را در واتساپ دریافت کرد که ادعا میکرد برای یک اتاق فکر در بیروت، لبنان کار میکند و او را به کنفرانسی دعوت میکرد. تحقیقات مشترک نشان داد که پیوندهای فیشینگ ارسال شده از طریق واتس اپ، پس از کلیک، هدف را به صفحه ورود جعلی هدایت می کند که رمز عبور و کد تأیید شخص را دریافت می کند. تیم تحقیقاتی زیرساختی را که میزبان پیوندهای مخرب بود بررسی کرد و اهداف اضافی را در کمپین در حال انجام شناسایی کرد.
دیده بان حقوق بشر و عفو بین الملل با 18 شخصیتی که به عنوان اهداف کمپین شناسایی شده بودند تماس گرفتند. 15 نفر از آنها پاسخ دادند و دریافت پیام های مشابه واتس اپ را بین 15 سپتامبر تا 25 نوامبر 2022 تایید کردند.
در 23 و 22 نوامبر، دومین کارمند دیده بان حقوق بشر نیز هدف قرار گرفت. او همان پیامهای واتساپ را از همان شمارهای دریافت کرد که با سایر اهداف تماس گرفته بود.
فیشینگ و تلاشهای مهندسی اجتماعی همچنان عناصر کلیدی حملات سایبری ایران هستند. از سال 2010، اپراتورهای ایرانی اعضای دولت ها، نیروها و شرکت های نظامی خارجی و همچنین مخالفان سیاسی و مدافعان حقوق بشر را هدف قرار داده اند. با گذشت زمان، این حملات در روشی که به عنوان “مهندسی اجتماعی” شناخته می شود، پیچیده تر شده اند.
به گفته شرکت امنیت سایبری آمریکایی Mandiant، APT42 مسئول چندین حمله فیشینگ در اروپا، ایالات متحده و منطقه خاورمیانه و شمال آفریقا بوده است. در 14 سپتامبر 2022، دفتر کنترل دارایی های خارجی وزارت خزانه داری ایالات متحده (OFAC) افراد مرتبط با این گروه را تحریم کرد.
بررسیها همچنین ناکافی بودن حفاظتهای امنیتی گوگل برای ایمن کردن دادههای کاربرانش را نشان داد. افرادی که با موفقیت هدف حملات فیشینگ قرار گرفته اند به دیده بان حقوق بشر گفتند که متوجه نشدند حساب جیمیل آنها هک شده یا Google Checkout راه اندازی شده است زیرا هشدارهای امنیتی در مورد فعالیت حساب Google مخابره نشده است. صندوق ورودی و پیامهای فشار کاربر به برنامه Gmail کاربران در تلفن آنها ارسال نمیشود.
فعالیت امنیتی Google نشان داد که مهاجمان تقریباً بلافاصله پس از نقض به حسابهای اهداف دسترسی پیدا کردند و تا زمانی که دیدهبان حقوق بشر و تیم تحقیقاتی عفو بینالملل به آنها اطلاع ندادند، این دسترسی را حفظ کردند.
دیده بان حقوق بشر اعلام کرد که گوگل باید فورا هشدارهای امنیتی را برای حساب های جی میل تقویت کند تا از روزنامه نگاران، مدافعان حقوق بشر و کاربران آن که بیشتر در معرض خطر هستند محافظت کند.
غطاس گفت: «در خاورمیانه مملو از تهدیدهای نظارتی برای فعالان، محققان امنیت دیجیتال نه تنها باید یافتههای خود را منتشر و تبلیغ کنند، بلکه باید حفاظت از فعالان، روزنامهنگاران و رهبران جامعه مدنی در معرض تهدید را در این منطقه در اولویت قرار دهند».
تحلیل تکنیکال کمپین فیشینگ
در 18 اکتبر 2022، یکی از کارکنان دیدهبان حقوق بشر که در منطقه خاورمیانه و شمال آفریقا کار میکرد، پیامهایی در واتساپ دریافت کرد که ادعا میکرد برای یک اتاق فکر در لبنان کار میکند و گیرنده را در یک کنفرانس دعوت میکرد. این دعوت نامه همان فرمت دعوت های اتاق فکر قبلی را داشت که نشان دهنده سطح پیشرفته ای از مهندسی اجتماعی بود. فردی که توسط گروه عامل تهدید APT42 در این پیام های واتس اپ جعل شده است در این اتاق فکر کار می کرد.
همکار دیدهبان حقوق بشر پیامها را به تیم امنیت اطلاعات ارسال کرد، تیمی که تأیید کرد که آنها تلاشهایی برای فیشینگ داشتند. اگر آن شخص روی پیوند cutly[.]biz کلیک کرده بود، به https://sharefilesonline[.]live/xxxxxx/BI-File-2022.html هدایت می شد، که میزبان یک صفحه ورود جعلی مایکروسافت است:
پیوند فیشینگ ارسال شده به مشارکتکننده دیدهبان حقوق بشر شامل یک مسیر تصادفی پنج کاراکتری متشکل از حروف کوچک و اعداد بود که تقریباً 6 میلیون جابهجایی را مجاز میکرد و همه مسیرها را در زیرساخت مهاجم و پیوند به پیوندهای موجود را برمیشمرد. دست دیگری گرفت. این منجر به کشف 44 آدرس قانونی دیگر شد که بسیاری از آنها به صفحه فیشینگ منجر شد که آدرس ایمیل هدف را نمایش می داد. این صفحات فیشینگ به طور ویژه برای تقلید از صفحات لاگین مایکروسافت، گوگل و یاهو طراحی شده اند.
تحقیقات بیشتر نشان داد که کیت فیشینگ روشهای احراز هویت چند عاملی غیر از کلید امنیتی سختافزاری را دور میزند. احراز هویت چند عاملی (MFA)، که اغلب به عنوان احراز هویت دو مرحله ای یا 2FA شناخته می شود، علاوه بر رمز عبور، به روش های احراز هویت ثانویه نیز نیاز دارد. فاکتورهای ثانویه عبارتند از یک کد موقت ارسال شده از طریق پیام متنی، یک کد موقت ارائه شده در یک برنامه تلفن هوشمند (مانند FreeOTP یا Google Authenticator) و یک کد تولید شده توسط یک کلید امنیتی سخت افزاری (مانند Yubikey یا Solo Key). با استفاده از روشهای فنی مختلف، میتوان یک جعبه ابزار فیشینگ ایجاد کرد که پس از ارسال کد موقت از طریق پیامک یا برنامه تلفن هوشمند، احراز هویت چند عاملی را دور میزند. در حال حاضر، امکان دور زدن احراز هویت چند عاملی که از یک کلید سخت افزاری استفاده می کند، برای کیت های فیشینگ وجود ندارد.
چتهای واتساپ افرادی که از هدفگیری موفقیتآمیز خود آگاه بودند نشان میدهد که مهاجمان زمانی که روی پیوندهای فیشینگ کلیک میکردند به طور منظم با اهداف در تماس بودند. پس از اینکه هدف ها جزئیات ورود خود را در صفحه فیشینگ وارد کردند، از آنها خواسته شد تا کدی را در صفحه ای وارد کنند تا از 2FA عبور کنند، که مهاجمان از آن برای دسترسی به حساب ایمیل خود استفاده کردند. کیتهای فیشینگ که قادر به دور زدن MFA هستند حداقل از سال 2018 رایج بوده است و آزمایشگاه امنیتی عفو بینالملل چندین مورد استفاده از این کیتها را علیه مدافعان حقوق بشر در سالهای 2018 و 2020 مستند کرده است.
APT42 روزنامه نگاران و مدافعان حقوق بشر را هدف قرار می دهد
عفو بین الملل و دیده بان حقوق بشر علاوه بر دو همکار دیده بان حقوق بشر، 18 حساب ایمیل دیگر را نیز شناسایی کردند که در طول کمپین مورد هدف قرار گرفتند. در میان این افراد 6 خبرنگار نیز حضور داشتند.
دیده بان حقوق بشر و عفو بین الملل با همه تماس گرفتند و 15 نفر پاسخ دادند. آنها تأیید کردند که همه آنها بین 15 سپتامبر تا 25 نوامبر 2022 هدف یک رویکرد مهندسی اجتماعی قرار گرفتند. از بین 20 نفری که هدف قرار گرفتند، حداقل سه نفر تحت تأثیر بازیگر تهدید کننده قرار گرفتند. تأیید نفوذ باعث شد تیم تحقیقاتی بینش بیشتری از فرآیند داده کاوی به دست آورند. علاوه بر این، دیده بان حقوق بشر با قطع ارتباط مهاجمان از حساب های روزنامه نگاران و حفظ امنیت مجدد حساب ها از این روزنامه نگاران حمایت کرد.
این رخنه به مهاجمان امکان دسترسی به ایمیلهای هدف، درایوهای ذخیرهسازی ابری، تقویمها و کتابهای تماس را میداد. حداقل در یک مورد، مهاجم صندوق پستی خود را همگام کرده و شروع به اجرای Google Checkout کرده است. سرویسی که تمام فعالیتها و اطلاعات حساب را صادر میکند، از جمله جستجوهای وب، پرداختها، سفرها و مکانها، تبلیغات کلیکشده، فعالیت YouTube و سایر اطلاعات مربوط به حساب. این جامع ترین و سرزده ترین روش استخراج داده ها از حساب گوگل است.
فعالیت امنیتی گوگل نشان داد که مهاجمان تقریباً بلافاصله پس از نفوذ به اکانتهای اهداف دسترسی داشتند و این دسترسی تا زمانی که دیدهبان حقوق بشر اهداف را مطلع کرد و به آنها کمک کرد تا ارتباط مهاجمان دستگاههای متصل را قطع کنند، ادامه داشت.
نسبت دادن
تیم امنیت اطلاعات دیدهبان حقوق بشر این حملات را با اطمینان بالا به عامل تهدید ایرانی APT42 نسبت میدهد، بر اساس شاخصهای فنی خاص مرتبط با این حملات فیشینگ و زیرساختهای عملیاتی مورد استفاده مهاجمان هنگام دسترسی به حسابهای در معرض خطر. Kliraskai و Sertfa “ملو گربه” نامیده می شود. فهرست موضوعات APT42 که دیدهبان حقوق بشر شناسایی شده است، همگی مرتبط با موضوع، از جمله ایران، میشوند و یک حساب مورد نفوذ از یک آدرس آیپی در مورد دسترسی تهران قرار گرفته است. سازمان بر پایه تحقات درباره کمپین های مرتبط این انتساب را تیید کرده اند.
سازمانهای بسیاری از جمله گوگل، و شرکتهای امنیت سایبری مثل رکوردد فیوچر، و پروفپرینت، که برنامه APT42 را مورد بررسی قرار دادند، به این نتیجه رسیدند که APT42 از سوی مقامات ایرانی میشود. شرکت امنیت سایبری آمریکایی ماندیانت در ماه سپتامبر این فعالیتها به سپاه پا 7
سورس کد صفحه فیشینگ برای این ۲۰ نفر شامل کد جاوااسکریپتی میشود که بسیار شبیه به کدی است که در یک صفحه فیشینگ میزبانیشده روی دامین mailer-daemon[.]net در نوامبر ۲۰۲۲ مورد استفاده قرار گرفته بود و بخشی از کمپین فیشینگی بود که توسط فیوچر به عامل ایرانی APT42 منتسب شده بود. کد همین در اوت ۲۰۲۱ در continutogo [.] من یافته شده بود که بخشی از کمپین فینگینگی بود که از سوی گوگل به بایگیگران تهد آات ?ver
دو نفر از افراد از افراد دیدهبان حقوق، که در 23 نوامبر 2022 هدف قرار گرفتند، همان پیامهای واتساپ را از همان شماره دریافت کردند که با هدف دیگری تماس گرفتند. لینک مخرب به اشتراک گذاشته شده با او روی mailer-daemon[.]org میزبانی میشد و آدرس آن از همان کوتاهکننده(cutly[.]biz) برای پنهان کردن اسم کامل دامین استفاده شده بود.
استفاده از کوتاهکنندههای آدرس جعلی، غیرمعمول، و سفارشی پیش از این در حمله به منتسب به دیگر بازیگران ایرانی مثل فسفر علیه اهداف اسرایی و آمریکایی در ژوئن ۲۰۲۲ بود. آنها از litby[.] us استفاده کرده بودند.
بررسی زیرساخت همان دامان نشان داد که گروهین uani[.]us را ثبت کرده است دامینی با آدرس جعلی که گروه ذینفوذ مستقر در آمریکا به نام اتحاد علیه ایران هستهای را کپی میکند که ENمبر ه home ه.
همه آدرسهای آیپی مورد استفاده برای ارتباط با حسابهای مورد ن renew با وجود این، ی، دهبان حقوق یک آدرس ایرانی، 5.160.239.xxx، ر پی پیدا کرد که به اینباکس از بشریت وصل ب. این احتمالاً آدرس عمومی عبکه فرد است، mountains ک ک ک شاید در نتیجه غ;
یکی از ویژگیهای بسیار قابل توجه گروههای تهدید تحت حمایت حکومت ایران فیشینگ هدفگیری شده با دقت بالا و تکنیکهای مهندسی اجتماعی و جعل هویت در کنفرانسها و اجها برای اعتمادسازی و حفظ رابطه با اهدافشان است. در این حمله42 از اتاق فکر مستقر در لبنان برای فریب دادن هدفش استفاد. سازماندهندگان کنفرانس امنیتی مونیخ و اجلاس تینک ۲۰ (T20) در عربستان سعودی به شیوه مشابه مورد جعل هویgent
گگارش آخر ماندیانت درباره apt42 اطلاعات جیی بیشتر دربار فعال شد ماندیانت هر دو را به سپاه پاسداران ایران منتسب میکند. برای مثال، پس از انتشار این گگارش، سرتفات انتساب یک ک کمپین را از Apt35 به Apt42 تغییر داده است.
جزییات فنی بعد از نفوذ و نشانگرهای نفوذ 23123دیدهبان حقوق بشر در جریان تحقیقات از روزنامهنگاران و مدافعان حقوق بشری که از نفوذ این کمپین فیشینگ گرفته میشود حمایت عمل آورد. این به دیدهبان حقوق بشر این امکان را میدهد که تصمیمات خود را از دستیابی به کسب اطلاع کند.
در حداقل یک کارتیکان دست به گوگل اجرای آوت زدند. سرویسی که تمام اطلاعات و فعالیتهای یک حساب از جمله سرچهای وب، پرداختها، سفرها و مکانها، تبلیغات کلیکشده، فعالیت در یوتیوب و سایر اطلاعات حساب را اکسپورت میکند. این جامعترین و مداخلهجویانهترین شیوه دادهها، یک حساد ڄگ. استفاده از گوگل تیکآوت برای استخراج از حساب کاربری با خصوصیتهای ابزار HYPERSCRAPE شناساییشده توسط گروه تحلیل گوگل همخوانی، اما دیدهبان حقوق بشر بر اساس لاگهایی که به آن دسترسی پیدا میکند، میتواند آشکار باشد که این ابزار مورد استفاده قرار میگیرد یا خیر.
برای چندین هدف، مهاجمان صندوق پستی در معرض خطر را با یک سرویس مایکروسافت هماهنگ کردند تا محتویات صندوق پست را استخراج کنند. طبق اطلاعات ما، این اولین بار است که این رفتار به عنوان یک تاکتیک پس از نفوذ مورد استفاده توسط APT42 گزارش شده است.
فعالیت امنیتی Google نشان داد که مهاجمان تقریباً بلافاصله پس از در معرض خطر قرار گرفتن به حسابهای اهداف خود دسترسی پیدا کردند و این کار را تا زمانی ادامه داد که ما به اهداف اطلاع دادیم و به آنها کمک کردیم دستگاههای متصل مهاجمان را قطع کنند.
بر اساس گزارشهای امنیتی Google، ما آدرسهای IP مورد استفاده برای ورود به حساب در معرض خطر را شناسایی کردیم.
ما یک نام رایانه مشابه را با همه حسابهای در معرض خطر مرتبط دیدیم:
OFFICE-F8QNCC0.
شاخص های نفوذ
شماره های WhatsApp مورد استفاده مهاجمان:
+12343121624
+12092330560
+18045001154
form.office.com/r/sn1EBES4u0
به خوبی[.]biz
hxxps://sharefilesonline[.]live/xxxxxx/BI-File-2022.html
hxxps://sharefilesonline[.]live/xxxxxx/G-check-first.html
hxxps://sharefilesonline[.]live/xxxxxx/G-transfer.html
hxxps://sharefilesonline[.]live/xxxxxx/continue.html
hxxps://sharefilesonline[.]live/xxxxxx/index.php
hxxps://mailer-daemon[.]net/file=sharing=system/xxxxxx/first.check.html
hxxp://mailer-daemon[.]org/ xxxxxx /index.php
OFFICE-F8QNCC0
5.160.239.XXX
