Logotyp serwisu CyberDefence24
Reklama

Cyberbezpieczeństwo

Irańscy hakerzy w nowej kampanii socjotechnicznej

Oskar Klimczuk

Oskar Klimczuk

Irańscy hakerzy stale atakują
Irańscy hakerzy stale atakują
Autor. pxhere.com, CC0

Ataki socjotechniczne są poważnym zagrożeniem dla każdego z nas. Irańscy cyberprzestępcy podszywali się pod dziennikarzy w celu uzyskania nieuprawnionego dostępu do sieci korporacyjnych. Do ataków wykorzystywane są m.in. domeny podszywające się pod znane strony internetowe.

Phishing jest atrakcyjnym rodzajem ataku dla cyberprzestępców. Tym razem irańskie APT42 wykradało dane logowania, używając do tego fałszywych kont na Twitterze. Wykryto również dwa backdoory.

Czytaj też

Reklama

Metody irańskich cyberprzestępców

Podobnie jak w przypadku północnokoreańskich ataków socjotechnicznych, pierwszy kontakt był nawiązywany przez media społecznościowe. Google w raporcie wymienia jedno z kont stworzone przez cyberprzestępców.

Zrzut ekranu z jednego z kont
Zrzut ekranu z jednego z kont
Autor. https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations

Wysyłali oni załączniki o atrakcyjnych nazwach. Jednym z nich był plik hostowany na Dropbox o nazwie „Sekrety tuneli w Gazie”.

Plik na Dropbox
Plik na Dropbox
Autor. https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations

Kolejną techniką cyberprzestępców było wykorzystanie stron phishingowych do przejmowania danych logowania do skrzynek e-mailowych. Irańscy hakerzy podszywali się m.in. pod Microsoft.

Strony phishingowe, w tym panel logowania do maila
Strony phishingowe, w tym panel logowania do maila
Autor. https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations
Wybrane URL stron phishingowych
Wybrane URL stron phishingowych
Autor. https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations

Czytaj też

Reklama

Złośliwe oprogramowanie

Ostatnim krokiem cyberprzestępców było pobranie i wykonanie złośliwego oprogramowania. Atakujący wykorzystali zaciemnione polecenia w celu infekcji urządzeń.

Skutkiem wykonania oryginalnych poleceń było nawiązanie połączenia z serwerem C2 (ang. Command and Control).

Czytaj też

Reklama

Ochrona przed zagrożeniami

Google opublikował listę złośliwych domen wraz z funkcjami skrótu MD5 pobieranych plików. Zostały również stworzone reguły YARA, dzięki którym osoby odpowiedzialne za cyberbezpieczeństwo w organizacjach mogą szybko zapobiec zagrożeniom.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Komentarze

    Reklama

    Czytaj także

    Jakie są dobre i złe praktyki w kontekście haseł?
    #CyberMagazyn: Bezpieczeństwo haseł. Fakty i mity
    #CyberMagazyn: Dezinformacja na polskiej kolei
    Konferencja Infoshare 2024 odbędzie się w dniach 22-23 maja w Gdańsku.
    Infoshare 2024. Największa w CEE konferencja łącząca technologię, biznes i startupy
    pegasus polska afera pegasusa
    Jak działa Pegasus? Techniki inwigilacji służb
    Pulpity zdalne na celowniku hakerów. Rozprzestrzeniają ransomware
    Ważne ostrzeżenie: rośnie liczba deepfake'ów z wizerunkiem osób publicznych
    Otwarte dane publiczne. Podano liczby na 10-lecie
    Komisja Europejska sprawdzi, czy Meta łamie prawa dzieci
    Komisja Europejska zbada, czy Meta łamie prawa dzieci. Gigant odpowiada