ادعای حمله APT مرتبط با ایران به خطوط هوایی آسیایی

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir iran linked apt abuses slack attacks asian airline 1
به گزارش آی‌بی‌ام سکیوریتی ایکس فورس، Muddywater که یک عامل تهدید دائمی پیشرفته (APT) مرتبط با ایران است در حال استقرار یک Backdoor که از Slack سواستفاده می‌کند در شبکه یک شرکت هواپیمایی آسیایی مشاهده گردیده است.

به ادعای آن مجموعه، این گروه هک که با نام‌های MERCURY، Seedworm، Static Kitten و ITG17 نیز شناخته می‌شود، عمدتاً بر روی اهدافی در خاورمیانه و سایر بخش‌های آسیا متمرکز است.

آی‌بی‌ام ایکس فورس گفته است که MuddyWater در اکتبر ۲۰۱۹ توانست شبکه خطوط هوایی ناشناس آسیایی را به خطر بیاندازد و این فعالیت مشاهده شده در سال ۲۰۲۱ نیز ادامه داشته است.

محققان امنیتی IBM خاطرنشان کرده‌اند که مهاجم یک PowerShell Backdoor به نام Aclip را مستقر کرده است که از API پیام‌رسانی Slack برای عملیات command-and-control (C&C) از جمله ارتباطات و انتقال داده استفاده می‌کند.

به ادعای این گزارش، با توجه به اینکه در بسیاری از موارد چندین گروه هک ایرانی به محیط قربانی دسترسی پیدا کرده‌اند، IBM X-Force خاطرنشان کرده که ممکن است مهاجمان دیگری نیز به‌ویژه با عوامل تهدید تحت حمایت دولت ایران که صنعت خطوط هوایی را هدف قرار می‌دهند، در راستای اهداف نظارتی و حداقل برای نیم دهه، در این عملیات دخیل بوده باشند.

در حادثه مشاهده شده، یک کلید اجرای رجیستری ویندوز برای اجرای مداوم یک بچ اسکریپت استفاده شد که به نوبه خود یک فایل اسکریپت (Aclip Backdoor) را با استفاده از PowerShell اجرا می‌کند. این بدافزار که دستورات را از طریق کانال‌های Slack ایجاد شده توسط مهاجم دریافت می‌کند و می‌تواند اسکرین‌شات بگیرد، اطلاعات سیستم را جمع‌آوری کند و فایل‌ها را استخراج نماید.

با استفاده از Slack برای اهداف ارتباطی، مهاجم اطمینان حاصل می‌کند که ترافیک مخرب با ترافیک عادی شبکه ترکیب می‌شود. این برنامه ادغام و ترکیب، برای اهداف مشابه توسط سایر خانواده‌های بدافزار نیز مورد سواستفاده قرار گرفته است.

پس از اطلاع از فعالیت مخرب، Slack، تحقیقاتی را در مورد این موضوع آغاز نموده و فضا‌های کاری گزارش شده Slack را حذف کرد.

در ادامه Slack افزود: "ما تأیید می‌نماییم که Slack به هیچ وجه به عنوان بخشی از این حادثه به خطر نیفتاده است و هیچ اطلاعاتی از مشتریان Slack در معرض خطر یا سواستفاده قرار نگرفته است. ما متعهد به جلوگیری از سواستفاده از پلتفرم خود هستیم و علیه هر کسی که شرایط خدمات ما را نقض کند، اقدام می‌کنیم".

بر اساس ابزار‌های سفارشی استفاده شده در حمله، ‌آور‌لپ‌های TTP، زیرساخت‌های به کار گرفته شده و هدف‌گیری قبلی MuddyWater در بخش حمل‌ونقل، محققان IBM مطمئن هستند که عامل تهدیدی در پشت این فعالیت قرار دارد.

برچسب ها: آی‌بی‌ام اکس فورس, ITG17, MERCURY, Seedworm, Static Kitten, Aclip, Aclip Backdoor, Batch Script, بچ اسکریپت, MuddyWater, اسکریپت, IBM, API, Iran, TTP, Slack, PowerShell, cybersecurity, IBM X-Force, ایران, malware, backdoor, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ