Η Microsoft λέει ότι Ιρανοί hackers στοχεύουν υπαλλήλους ερευνητικών οργανισμών και πανεπιστημίων σε όλη την Ευρώπη και τις Ηνωμένες Πολιτείες (μέσω spear phishing) και μολύνουν τις συσκευές τους με backdoor malware (MediaPl, MischiefTut).
Οι επιτιθέμενοι είναι μια υποομάδα της ιρανικής ομάδας κυβερνοκατασκοπείας APT35 (επίσης γνωστή ως Charming Kitten and Phosphorus) που συνδέεται με το Σώμα των Φρουρών της Ισλαμικής Επανάστασης (IRGC). Οι hackers στέλνουν πειστικά και προσαρμοσμένα στο στόχο phishing emails μέσω λογαριασμών που είχαν παραβιαστεί στο παρελθόν. Έτσι τα θύματα δυσκολεύονται να αναγνωρίσουν την απάτη.
Δείτε επίσης: Το AndroxGh0st malware botnet κλέβει AWS, Azure, Office 365 credentials
“Από τον Νοέμβριο του 2023, η Microsoft έχει παρατηρήσει μια ξεχωριστή υποομάδα της Mint Sandstorm (PHOSPHORUS), που στοχεύει άτομα υψηλού προφίλ που εργάζονται σε θέματα Μέσης Ανατολής σε πανεπιστήμια και ερευνητικούς οργανισμούς στο Βέλγιο, τη Γαλλία, τη Γάζα, το Ισραήλ, το Ηνωμένο Βασίλειο και τις Ηνωμένες Πολιτείες“, είπε η Microsoft.
Μέσω των email, οι Ιρανοί hackers προσπαθούν να πείσουν τα θύματα να κατεβάσουν κακόβουλα αρχεία στη συσκευή τους. Σε μερικές περιπτώσεις, η Microsoft παρατήρησε τη μόλυνση των συσκευών με ένα νέο custom backdoor malware που ονομάζεται MediaPl.
Το MediaPl χρησιμοποιεί κρυπτογραφημένα κανάλια επικοινωνίας για την ανταλλαγή πληροφοριών με τον διακομιστή εντολών και ελέγχου (C2) και μεταμφιέζεται ως Windows Media Player για να αποφύγει τον εντοπισμό.
Οι επικοινωνίες μεταξύ του MediaPl και του διακομιστή C2 χρησιμοποιούν κρυπτογράφηση AES CBC και Base64 encoding. Σύμφωνα με τις παρατηρήσεις των ερευνητών, διαθέτει δυνατότητα αυτόματου τερματισμού, προσωρινής διακοπής, επανάληψης των επικοινωνιών C2 και εκτέλεσης εντολών C2 χρησιμοποιώντας τη λειτουργία _popen.
Δείτε επίσης: MacOS info-stealer malware αποφεύγουν την ανίχνευση από το XProtect
Ένα δεύτερο backdoor malware που χρησιμοποιήθηκε στις επιθέσεις είναι το MischiefTut, το οποίο βοηθά στην εγκατάσταση πρόσθετων κακόβουλων εργαλείων και παρέχει δυνατότητες reconnaissance, επιτρέποντας στους Ιρανούς hackers να εκτελούν εντολές στα χακαρισμένα συστήματα.
Στόχος των επιθέσεων είναι η κλοπή ευαίσθητων δεδομένων από τα παραβιασμένα συστήματα. Οι συγκεκριμένοι Ιρανοί hackers έχουν στοχεύσει και στο παρελθόν ερευνητές, καθηγητές, δημοσιογράφους και άλλα άτομα με γνώση ζητημάτων ασφάλειας και πολιτικής, με βάση τα ιρανικά συμφέροντα.
“Με βάση τις ταυτότητες των στόχων που παρατηρήθηκαν σε αυτήν την εκστρατεία και τη χρήση δολωμάτων που σχετίζονται με τον πόλεμο Ισραήλ-Χαμάς, είναι πιθανό αυτή η εκστρατεία να είναι μια προσπάθεια συγκέντρωσης στοιχείων για γεγονότα που σχετίζονται με τον πόλεμο, από άτομα σε όλο το ιδεολογικό φάσμα“, λέει η Microsoft.
Από τον Μάρτιο του 2021 έως τον Ιούνιο του 2022, η APT35 μόλυνε με backdoor τουλάχιστον 34 εταιρείες, στοχεύοντας κυρίως κυβερνητικές υπηρεσίες και οργανισμούς υγειονομικής περίθαλψης, καθώς και εταιρείες στον κλάδο των χρηματοοικονομικών, της μηχανικής, της βιομηχανίας, της τεχνολογίας, των τηλεπικοινωνιών κλπ.
Μια από τις πιο αποτελεσματικές μεθόδους πρόληψης του backdoor malware είναι η χρήση ενός ισχυρού προγράμματος antivirus. Αυτό το είδος του λογισμικού μπορεί να ανιχνεύσει και να αφαιρέσει το backdoor malware πριν αυτό μπορέσει να προκαλέσει ζημιά.
Δείτε επίσης: Το FBot malware στοχεύει cloud υπηρεσίες
Η ενημέρωση των λειτουργικών συστημάτων και των εφαρμογών είναι επίσης μια σημαντική μέθοδος πρόληψης. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν το σύστημά σας από την επίθεση του backdoor malware.
Επίσης, η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να αποτρέψει την πρόσβαση των επιτιθέμενων στο σύστημά σας.
Τέλος, η εκπαίδευση των χρηστών για τους κινδύνους του backdoor malware και τους τρόπους πρόληψης αυτού μπορεί να είναι πολύ αποτελεσματική. Αυτό μπορεί να περιλαμβάνει την αναγνώριση phishing e-mails ή την αποφυγή της λήψης αρχείων από μη αξιόπιστες πηγές.
Πηγή: www.bleepingcomputer.com