Social Engineering และ Information Operations
กลุ่มผู้ไม่หวังดีที่ทำงานในนามของ IRGC (Islamic Revolutionary Guard Corps) สามารถเข้าถึงบัญชีส่วนบุคคล และบัญชีธุรกิจของเหยื่อ โดยใช้วิธีการ Social Engineering โดยส่วนใหญ่จะปลอมเป็นผู้เชี่ยวชาญ และทำการติดต่อผ่านแพลตฟอร์มการส่งอีเมล หรือข้อความ นอกจากนี้กลุ่มผู้ไม่หวังดียังปลอมเป็นผู้ให้บริการอีเมลเพื่อขอข้อมูลด้านความปลอดภัยจากผู้ใช้บนแฟลตฟอร์มอีเมล หรือการส่งข้อความ เป้าหมายส่วนใหญ่มักจะมีความสัมพันธ์ใกล้ชิดกิจการของอิหร่าน และตะวันออกกลาง เช่น เจ้าหน้าที่รัฐบาลระดับสูงในปัจจุบัน หรืออดีต, ผู้เชี่ยวชาญระดับสูงในองค์กรวิจัย, นักข่าว, นักเคลื่อนไหว และนักล็อบบี้ (Lobbyists) เมื่อไม่นานมานี้ FBI ได้พบว่ากลุ่มผู้ไม่หวังดีได้มุ่งเป้าหมายไปที่บุคคลที่เกี่ยวกับการเลือกตั้งทางการเมืองในสหรัฐฯ
กลุ่มผู้ไม่หวังดีส่วนใหญ่พยายามสร้างความสัมพันธ์ ก่อนที่จะขอให้เหยื่อเข้าถึงเอกสารผ่านลิงก์ที่นำไปสู่หน้าเข้าระบบบัญชีอีเมลปลอม เพื่อรวบรวมข้อมูล credentials ของเหยื่อ โดยเหยื่ออาจได้รับแจ้งให้กรอกรหัสการยืนยันตัวตนสองขั้นตอน (two-factor authentication) หรือส่งข้อมูลเหล่านี้ผ่านแอปพลิเคชันการส่งข้อความ หรือโต้ตอบกับการแจ้งเตือนทางโทรศัพท์เพื่ออนุญาตให้กลุ่มผู้ไม่หวังดีสามารถเข้าถึงระบบได้ บางครั้งเหยื่อสามารถเข้าถึงเอกสารได้ แต่อาจได้รับข้อความแสดงข้อผิดพลาดในการเข้าสู่ระบบ
กลุ่มผู้ไม่หวังดีที่ทำงานในนามของ IRGC จะปรับแต่งอินสแตนซ์ของ Social Engineering เพื่อรวมประเด็นที่น่าสนใจ หรือเกี่ยวข้องกับเป้าหมาย เช่น
- การปลอมตัวเป็นบุคคลที่รู้จัก เช่น เพื่อนร่วมงาน หรือสมาชิกในครอบครัว
- การปลอมเป็นผู้ให้บริการอีเมลเกี่ยวกับการตั้งค่าบัญชี
- คำขอจากบัญชีที่ปลอมเป็นนักข่าวที่มีชื่อเสียงสำหรับการสัมภาษณ์
- คำเชิญเข้าร่วมประชุม
- คำขอเข้าร่วมกิจกรรมการพูด (Speaking)
- กิจกรรมที่จัดโดยสถานทูต
- การอภิปราย หรือความคิดเห็นเกี่ยวกับนโยบายต่างประเทศ และการรีวิวบทความ
- การรณรงค์ และการเลือกตั้งในสหรัฐฯ ในปัจจุบัน
สัญญาณของการถูกโจมตีสำเร็จ
- การเข้าสู่ระบบที่น่าสงสัยจากที่อยู่ IP ต่างประเทศ หรือในประเทศ
- การตั้งค่า rules เพื่อส่งต่ออีเมล และป้องกันไม่ให้เหยื่อได้รับการแจ้งเตือนเกี่ยวกับการถูกโจมตี
- การเชื่อมต่ออุปกรณ์, แอปพลิเคชัน หรือบัญชีที่ไม่รู้จักเข้ากับบัญชีของเหยื่อ
- การขโมยข้อมูล และการลบข้อความจากบัญชีของเหยื่อ
- การพยายามเข้าสู่บัญชีของเหยื่อรายอื่น
Indicators of Compromise (IOCs)
- 3dauth[.]live
- 3dconfirrnation[.]com
- accesscheckout[.]online
- accessverification[.]online
- accunt-loqin[.]ml
- accurateprivacy[.]online
- atlantic-council[.]com
- bitly[.]org[.]il
- boom-boom[.]ga
- bytli[.]us
- continuetogo[.]me
- continue-to-your-account[.]000webhostapp[.]com
- covi19questionaire[.]000webhostapp[.]com
- covid19questionnaire[.]freesite[.]vip
- css-ethz[.]ch
- cutly[.]biz
- cutly[.]vip
- daemon-mailer[.]com
- de-ma[.]online
- direct-access[.]info
- discovery-protocol[.]ml
- docfileview[.]org
- doctransfer[.]online
- dreamycareer[.]com
- dr-sup[.]live
- email-daemon[.]site
- email-protection[.]online
- file-access[.]com
- filetransfer[.]club
- freahman[.]online
- freshconnect[.]live
- gdrive-files[.]com
- gettogether[.]quest
- gl-sup[.]online
- gm-sup[.]com
- g-shorturl[.]com
- home[.]kg
- idccovid19questionaire[.]000webhostapp[.]com
- ipsss[.]000webhostapp[.]com
- linkauthenticator[.]online
- litby[.]us
- lovetoflight[.]com
- lst-accurate[.]com
- ltf[.]world
- mailerdaemon[.]info
- mailer-daemon[.]live
- mailer-daemon[.]me
- mailer-daemon[.]net
- mailer-daemon[.]online
- mailer-daemon[.]org
- mailer-daemon[.]site
- mailer-daemon[.]us
- mailer-daemon-message[.]co
- mailer-support[.]online
- mfa-ic[.]ae
- mofa-ic[.]ae
- myconnect-support[.]com
- on-dr[.]com
- private-file-sharing[.]000webhostapp[.]com
- qmaiil[.]ml
- reactivate-disabled-accuonts[.]000webhostapp[.]com
- redirect-drive[.]online
- safeshortl[.]ink
- shared-files-access[.]live
- sharefilesonline[.]live
- summit-files[.]com
- tinyurl[.]co[.]il
- tinyurl[.]ink
- tinyurl[.]live
- uani[.]us
- verificationservice[.]online
- washingtonlnstitute[.]org
- workstation2020[.]000webhostapp[.]com
- www-myaccounts-support[.]000webhostapp[.]com
- youtransfer[.]live
ที่มา : resecurity
You must be logged in to post a comment.