در نوامبر سال ۲۰۲۱، طی یک حمله سایبری بدافزار هدفمند جدیدی که دارای عملکردهای در پشتی «ساده» به عنوان بخشی از نفوذ به یک نهاد دولتی ناشناس در خاورمیانه بود، کشف شد.
شرکت امنیت سایبری “ماندیانت” این حمله را به گروه طبقه بندی نشده ای نسبت داد که تحت نام “یو ان سی ۳۳۱۳” فعالیت های خودشان را انجام می دهند، که با این تفاسیر این گروه را میشود در ارتباط با گروه تحت حمایت دولت ایران با نام “مادی واتر” ارزیابی کرد.
عده ای از محققان بر این باورند که فعالیت اصلی گروه “یو ان سی ۳۳۱۳″، در واقع نظارت و جمعآوری اطلاعات استراتژیک برای حمایت از منافع ایران است، چراکه الگوهای هدفگیری و نوع فعالیت آنها نشاندهنده تمرکز قوی بر اهدافی است که وابسته به جغرافیای سیاسی است.
در اواسط ژانویه سال ۲۰۲۲، سازمانهای اطلاعاتی ایالات متحده، گروه “مادی واتر” را به عنوان یک گروه وابسته به وزارت اطلاعات و امنیت ایران معرفی کردند که حداقل از سال ۲۰۱۸ فعالیت خودشان را با استفاده از طیف گسترده ای از ابزارها و تکنیک ها در عملیات ها و اهدافشان شروع کرده اند.
اما در مورد حملات این گروه هک ایرانی که بخش های دفاعی، دولتی، نفت و گاز و مخابرات را در سراسر جهان را هدف قرار می دهد، گفته می شود که آنها توانسته اند از طریق ایمیلهای فیشینگ، جهت دستیابی به دسترسی اولیه و به دنبال آن با استفاده از بدافزارها جهت حفظ دسترسی و نفوذ بیشتر، عملیات خودشان را پیش ببرند.
ایمیلهای فیشینگ با فریب دادن یک یا چندین قربانی نسبت به یک موضوع خاص، آنها را مجاب می کنند تا روی یک لینک ضمیمه شده در ایمیل کلیک و فایلی را دانلود کنند که راه را برای نصب یک نرمافزار دسترسی از راه دور ، برای دستیابی به سیستم را هموار می کند.
این حملات شامل شناسایی شبکه داخلی و اجرای یک سری دستورات پاورشل برای دانلود ابزارها و بارهای اضافی در سیستم های راه دور بود. همچنین یک درب پشتی به نام “استار وال” که قبلاً دیده و یا مستند نشده بود و یک فایل اسکریپت ویندوز مشاهده شد، که دستورات دریافتی را از یک سرور فرمان و کنترل از طریق HTTP اجرا میکرد.
مورد دیگر که شامل ابزارهای و حملات این گروه می باشد “گرام دور” است، که یک درب پشتی نوشته شده به زبان پایتون است که از API پیام رسان تلگرام برای برقراری ارتباط از طریق HTTP با سرور تلگرام استفاده می کند که از همین رو می توان گفت که این گروه عملا در حملات خودشان از API پیام رسان تلگرام سوء استفاده می کنند و این موضوع بار دیگر استفاده از ابزارهای ارتباطی برای تسهیل استخراج داده ها را برجسته می کند.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.