การดำเนินการของ Hackers ในอิหร่าน

นักวิเคราะห์ภัยคุกคามของ Facebook และผู้เชี่ยวชาญในการค้นหา และป้องกันภัยคุกคามทางไซเบอร์ ได้ออกมาแจ้งเตือนเกี่ยวกับกลุ่มแฮ็กเกอร์ในอิหร่าน โดยมีเป้าหมายหลักอยู่ที่สหรัฐอเมริกา กลุ่มนี้เป็นที่รู้จักกันในชื่อ Tortoiseshell ซึ่งก่อนหน้านี้มีรายงานว่ากลุ่มนี้มุ่งเน้นไปที่อุตสาหกรรมเทคโนโลยีสารสนเทศในตะวันออกกลางเป็นหลัก แต่จากการตรวจสอบพบว่าแฮ็กเกอร์กำลังมุ่งเป้าไปที่บุคลากรทางทหาร บริษัทในอุตสาหกรรมการป้องกันประเทศ และการบินอวกาศในสหรัฐอเมริกา ในระดับที่น้อยกว่าในสหราชอาณาจักรและยุโรป กลุ่มนี้ใช้วิธีการที่เป็นอันตรายหลายอย่างเพื่อระบุเป้าหมาย และติดตั้งมัลแวร์ในอุปกรณ์ของเป้าหมายในการจารกรรมข้อมูล

แฮ็กเกอร์ใช้บัญชีออนไลน์ปลอมเพื่อติดต่อเป้าหมาย สร้างความไว้วางใจ และหลอกล่อให้คลิกลิงก์ที่เป็นอันตราย บุคคลเหล่านี้มีโปรไฟล์ปลอมในแพลตฟอร์มโซเชียลมีเดียหลายแห่งเพื่อให้ดูน่าเชื่อถือยิ่งขึ้น จากการตรวจสอบพบว่ากลุ่มนี้ใช้เวลาอย่างมากในการติดต่อกับเหยื่อผ่านอินเทอร์เน็ต ในบางกรณีใช้เวลาหลายเดือน โดยมีการสร้างโดเมนที่ออกแบบมาโดยเฉพาะเพื่อดึงดูดเป้าหมายเฉพาะในอุตสาหกรรมการบิน และอวกาศ และการป้องกันประเทศ พวกเขามีเว็บไซต์จัดหางานปลอมสำหรับบริษัทป้องกันประเทศบางแห่ง และปลอมแปลงไซต์ค้นหางานของกระทรวงแรงงานสหรัฐที่ถูกต้องตามกฎหมาย รวมถึงปลอมแปลงโดเมนของผู้ให้บริการอีเมลรายใหญ่และเลียนแบบบริการย่อ URL ที่อาจปกปิดปลายทางสุดท้ายของลิงก์เหล่านี้ โดเมนเหล่านี้ดูเหมือนจะถูกใช้เพื่อขโมยข้อมูลการเข้าสู่ระบบของบัญชีออนไลน์ของเหยื่อ (เช่น อีเมลของบริษัทและส่วนตัว ซอฟต์แวร์ที่สามารถใช้ทำงานร่วมกัน โซเชียลมีเดีย) รวมไปถึงใช้เพื่อรวบรวมข้อมูลเกี่ยวกับอุปกรณ์ที่ใช้งาน ระบบเครือข่ายที่ใช้ รวมไปถึงซอฟแวร์ที่มีการใช้งานของเหยื่ออีกด้วย

กลุ่มนี้ใช้มัลแวร์ที่สร้างเองซึ่งมีลักษณะเฉพาะสำหรับการใช้งาน ซึ่งรวมถึงโทรจันที่สามารถทำให้เข้าถึงระบบจากระยะไกลได้ เครื่องมือตรวจสอบอุปกรณ์ และเครือข่าย และเครื่องมือบันทึกการกดแป้นพิมพ์ ในบรรดาเครื่องมือเหล่านี้ พวกเขายังคงพัฒนา และปรับปรุงมัลแวร์สำหรับ Windows ที่รู้จักกันในชื่อ Syskit ซึ่งใช้มานานหลายปี พวกเขายังสร้างลิงก์ที่เป็นอันตรายบนสเปรดชีต Microsoft Excel ซึ่งทำให้มัลแวร์สามารถส่งคำสั่งต่างๆ ไปที่เครื่องของเหยื่อในลักษณะที่คล้ายกับเครื่องมือสแกนระบบ Liderc ที่ถูกพบโดยนักวิจัยที่ Cisco เครื่องมืออันตรายที่ถูกฝังอยู่ในเอกสาร Microsoft Excel สามารถส่งข้อมูลของระบบเป้าหมายไปยังสเปรดชีตที่สร้างขึ้น และหาวิธีการหลอกให้ผู้ใช้งานเซฟมัน และส่งคืนให้กับผู้โจมตี

นักวิเคราะห์พบว่ากลุ่มผู้โจมตีใช้มัลแวร์ชนิดที่แตกต่างกัน การตรวจสอบ และการวิเคราะห์มัลแวร์พบว่ามัลแวร์บางส่วนได้รับการพัฒนาโดย Mahak Rayan Afraz (MRA) ซึ่งเป็นบริษัทไอทีในกรุงเตหะรานที่มีความเชื่อมโยงกับ Islamic Revolutionary Guard Corps (IRGC) ผู้บริหาร MRA ในปัจจุบัน และในอดีตบางคนมีความเชื่อมโยงกับบริษัทต่างๆ ที่ถูกคว่ำบาตรโดยรัฐบาลสหรัฐฯ

คำแนะนำ

  • ระมัดระวังการใช้งานอีเมล และการติดต่อจากคนที่ไม่รู้จัก
  • เพิ่ม IOC ในอุปกรณ์ Security

ที่มา: about.fb.com