از سال 2021، گروههای تهدیدکننده مختلف همسو با دولت، روزنامهنگاران را هدف قرار دادهاند تا دادهها و اعتبارنامهها را جمعآوری کنند و همچنین آنها را ردیابی کنند.
حملات فیشینگ هدفمند به چندین عامل تهدید ردیابی می شود که هر کدام به طور مستقل بر سرقت اعتبار و داده های حساس و ردیابی موقعیت جغرافیایی خبرنگاران تمرکز کرده اند.
در گزارش پنجشنبهای توسط Proofpoint، محققان تلاشهای فردی گروههای تهدید مداوم (APT) را که به گفته آنها با چین، کره شمالی، ایران و ترکیه همسو هستند، تشریح کردند. به گفته محققان، حملات از اوایل سال 2021 آغاز شد و همچنان ادامه دارد.
مطابق به گزارش، APTها مستقل از یکدیگر عمل می کنند اما هدف کلی یکسانی از هدف قرار دادن روزنامه نگاران دارند. تاکتیکها نیز مشابه هستند، با عوامل تهدیدکننده که حسابهای ایمیل و رسانههای اجتماعی را به عنوان حملات فیشینگ در کمپینهای جاسوسی سایبری هدف قرار میدهند.
بازیگران تهدید که اغلب خود را به عنوان روزنامه نگار معرفی می کنند، بر کمپین های فیشینگ با هدف جمع آوری اعتبار، سرقت داده های مفید برای رژیم های خاص و نظارت دیجیتالی روزنامه نگاران سیاسی متمرکز شده اند.
APT Tradecraft: The Phish
به گفته محققان، این حملات معمولاً شامل نوعی مهندسی اجتماعی برای پایین آوردن گارد اهداف به منظور ترغیب آنها به دانلود و اجرای بارهای مخرب مختلف بر روی دستگاه های دیجیتال شخصی خود است. به گفته محققان، Lures شامل ایمیلها و پیامهایی بود که از طریق پلتفرمهای رسانههای اجتماعی مختلف در مورد موضوعات مرتبط با حوزه تمرکز سیاسی آنها ارسال میشد.
[رویداد رایگان بر اساس تقاضا: به Zane Bond Keeper Security در میزگرد Threatpost بپیوندید و بیاموزید که چگونه به طور ایمن به ماشین های خود از هر کجا دسترسی داشته باشید و اسناد حساس را از دفتر خانه خود به اشتراک بگذارید. اینجا تماشا کنید.]
در موارد مختلف، مهاجمان به منظور پایداری در شبکه گیرنده و انجام شناسایی جانبی شبکه و انتشار آلودگیهای بدافزار اضافی در شبکه هدف، در سطح پایینی قرار میگیرند و آلودگی به بدافزار را ارسال میکنند.
تاکتیکهای ثانویه شامل ردیابی یا زیر نظر گرفتن خبرنگاران بود. Proofpoint گفت که دشمنان از چراغ های وب نصب شده در دستگاه های خبرنگاران برای انجام نظارت استفاده کردند.
روزنامهنگاران قبلاً مورد هدف قرار گرفتهاند، اما نه به این شکل
آنها خاطرنشان کردند، در حالی که آخرین گزارش برخی از جدیدترین فعالیت ها علیه روزنامه نگاران را دنبال می کند، هدف قرار دادن این گروه از افراد با توجه به نوع اطلاعاتی که روزنامه نگاران در مورد مسائل سیاسی و اجتماعی-اقتصادی به آن دسترسی دارند، مطمئنا چیز جدیدی نیست.
محققان نوشتند: "بازیگران APT، صرف نظر از وابستگی دولتی خود، همیشه وظیفه هدف قرار دادن روزنامه نگاران و سازمان های رسانه ای را داشته و خواهند داشت و از شخصیت های مرتبط برای پیشبرد اهداف و اولویت های مجموعه خود استفاده خواهند کرد."
علاوه بر این، بعید است که تمرکز APTها بر رسانهها هرگز از بین نرود، که باید الهام بخش روزنامهنگاران باشد تا هر کاری که میتوانند برای ایمن کردن ارتباطات و دادههای حساس خود انجام دهند.
حمله APTهای مورد حمایت چین در ایالات متحده
بین ژانویه و فوریه 2021، محققان Proofpoint پنج کمپین را شناسایی کردند
چینی APT TA412، همچنین به عنوان شناخته شده است زیرکونیومبه گفته محققان، روزنامهنگاران مستقر در ایالات متحده، به ویژه آنهایی که در جریان رویدادهایی که توجه بینالمللی را به خود جلب کردهاند، مهمترین آنها را پوشش میدهند.
آنها گفتند که نحوه طراحی کمپینها به فضای سیاسی فعلی ایالات متحده بستگی داشت و مهاجمان بسته به اینکه کدام روزنامهنگار موضوعاتی را که دولت چین به آن علاقه دارد پوشش میدادند، اهداف را تغییر دادند.
آنها گفتند که یک کمپین فیشینگ شناسایی در روزهای قبل از حمله 6 ژانویه به ساختمان کنگره ایالات متحده رخ داد، و مهاجمان در این مدت به طور خاص بر روی خبرنگاران کاخ سفید و مستقر در واشنگتن تمرکز کردند.
به گفته محققان، مهاجم از خطوط موضوعی برگرفته از مقالات خبری اخیر ایالات متحده مرتبط با موضوعات سیاسی مرتبط در آن زمان، از جمله اقدامات دونالد ترامپ، رئیس جمهور سابق، جنبش های سیاسی ایالات متحده مرتبط با چین و اخیراً، موضع و دخالت ایالات متحده در جنگ روسیه علیه اوکراین استفاده کرد. گفت.
بارهای مختلف
در کمپینهای مشاهدهشده، زیرکونیوم بهعنوان چراغهای وب محموله خود، تاکتیکی مطابق با مخربها استفاده کرد. کمپین های جاسوسی سایبری به گفته محققان، علیه روزنامه نگارانی که APT از سال 2016 انجام داده است.
فانوس های وب که معمولاً به عنوان پیکسل های ردیابی، چراغ های ردیابی یا باگ های وب شناخته می شوند، یک شی غیرقابل مشاهده ابرپیوندی را در بدنه ایمیل جاسازی می کنند که وقتی فعال می شود، سعی می کند یک فایل تصویری خوش خیم را از یک سرور کنترل شده توسط بازیگر بازیابی کند.
آنها نوشتند: "محققان Proofpoint ارزیابی می کنند که این کمپین ها برای تأیید فعال بودن ایمیل های هدفمند و به دست آوردن اطلاعات اساسی در مورد محیط شبکه گیرندگان در نظر گرفته شده است."
محققین APT دیگری با پشتیبانی چینی به نام TA459 را در اواخر آوریل 2022 مشاهده کردند که پرسنل رسانه ای در جنوب شرقی آسیا را با ایمیل های حاوی پیوست مخرب Royal Road RTF هدف قرار می داد، در صورت باز شدن، بدافزار Chinoxy را نصب و اجرا می کرد – یک درب پشتی که برای به دست آوردن پایداری در یک دستگاه استفاده می شود. ماشین قربانی
محققان خاطرنشان کردند که نهاد مورد نظر مسئول گزارش در مورد درگیری روسیه و اوکراین بود که با مأموریت تاریخی TA459 برای جمع آوری موضوعات اطلاعاتی مرتبط با روسیه و بلاروس مطابقت دارد.
فرصت های شغلی جعلی از کره شمالی
محققان همچنین TA404 همسو با کره شمالی را مشاهده کردند که بیشتر به عنوان شناخته شده است جذامیآنها گزارش دادند که در اوایل سال 2022 یک سازمان رسانه ای مستقر در ایالات متحده را با حملات فیشینگ هدف قرار دادند که به نظر می رسید فرصت های شغلی را از شرکت های معتبر به خبرنگاران ارائه می دهد. حمله یادآور الف است مشابه در برابر مهندسانی که این گروه در سال 2021 راه اندازی کرد.
محققان درباره کمپین فیشینگ اخیر نوشتند: «این کار با فیشینگ شناسایی شروع شد که از URL های سفارشی برای هر گیرنده استفاده می کرد. «این نشانیهای اینترنتی جعل یک آگهی شغلی با صفحات فرود طراحی شدهاند که شبیه یک سایت آگهی شغلی مارک دار هستند».
به گفته محققان، با این حال، سایتها تقلبی بودند و URLها برای انتقال اطلاعات شناسایی رایانه یا دستگاهی که شخصی از آن کار میکرد استفاده میکرد تا به میزبان اجازه دهد تا هدف مورد نظر را پیگیری کند.
APT مورد حمایت ترکیه اعتبار توییتر را هدف قرار می دهد
APTهایی که ادعا میشود با دولت ترکیه ارتباط دارند، روزنامهنگاران را نیز هدف قرار دادهاند، که یک کمپین شامل یک «بازیگر تهدید پرکار» TA482 توسط Proofpoint مشاهده شده است. به گفته محققان، APT از اوایل سال 2022 به طور فعال خبرنگاران را از طریق حسابهای توییتر در تلاش برای سرقت اطلاعات از روزنامهنگاران و سازمانهای رسانهای مستقر در ایالات متحده هدف قرار داده است.
پژوهشگران خاطرنشان کردند که به نظر می رسد انگیزه این گروه گسترش تبلیغات در حمایت از رجب طیب اردوغان، رئیس جمهور ترکیه، حزب سیاسی حاکم ترکیه، حزب عدالت و توسعه باشد، اگرچه نمی توان با قطعیت این موضوع را تایید کرد.
این کمپینها از ایمیلهای فیشینگ که معمولاً مربوط به امنیت توییتر است استفاده میکنند - کاربر را در مورد ورود مشکوک هشدار میدهد تا توجه گیرنده را جلب کند و در صورت کلیک کردن روی یک پیوند، آنها را به صفحه جمعآوری اعتبار میبرد که جعل هویت توییتر است.
اعتبارنامه برداشت APTs ایرانی
پروف پوینت دریافته است که APTهای مرتبط با ایران به ویژه در حمله به روزنامه نگاران و روزنامه ها فعال بوده اند و معمولاً خود را به عنوان روزنامه نگاران در حملات برای درگیر شدن در نظارت بر اهداف و گرفتن اعتبار آنها نشان می دهند.
یکی از فعال ترین عاملان این حملات TA453 معروف به بچه گربه جذاب، یک گروه بدنام پروف پوینت گفت که با تلاش های جمع آوری اطلاعات سپاه پاسداران انقلاب اسلامی ایران هماهنگ است.
این گروه بدنام است که خود را به عنوان روزنامه نگاران از سراسر جهان برای هدف قرار دادن روزنامه نگاران، دانشگاهیان و محققان به طور یکسان با درگیر شدن در بحث در مورد
سیاست خارجی یا سایر موضوعات مرتبط با خاورمیانه، پس از آن از طریق یک PDF سفارشی، اما خوش خیم، به جلسات مجازی دعوت می شوند.
با این حال، به گفته محققان، PDF – که معمولاً از سرویسهای میزبانی فایل ارائه میشود – تقریباً همیشه حاوی پیوندی به کوتاهکننده URL و ردیاب IP است که اهداف را به دامنههای جمعآوری اعتبار کنترل شده توسط بازیگر هدایت میکند.
TA456 که با نام Tortoiseshell نیز شناخته میشود، یکی دیگر از بازیگران تهدیدکننده همسو با ایران است که به طور معمول به عنوان سازمانهای رسانهای ظاهر میشود تا با ایمیلهایی با مضمون خبرنامه که حاوی فانوسهای وب است که میتواند اهداف را ردیابی کند، خبرنگاران را هدف قرار میدهد.
یکی دیگر از بازیگران ایرانی، TA457، پشت پرسونای یک سازمان رسانه ای جعلی به نام "iNews Reporter" پنهان می شود تا بدافزار را به پرسنل روابط عمومی برساند.
محققان گفتند که برای شرکت های مستقر در ایالات متحده، اسرائیل و عربستان سعودی. آنها گفتند که بین سپتامبر 2021 و مارس 2022، Proofpoint کمپین هایی را توسط بازیگر پرکار تهدید مشاهده کرد که تقریباً هر دو تا سه هفته یکبار انجام می شد.
در یک کمپین که در مارس 2022 رخ داد، TA457 ایمیلی با موضوع کنایه آمیز «جنگ سایبری ایران» ارسال کرد که در نهایت یک تروجان دسترسی از راه دور بر روی ماشینهای قربانیان رها شد. محققان گزارش دادند که این کمپین هم آدرس های ایمیل فردی و هم گروهی را در تعداد انگشت شماری از مشتریان Proofpoint درگیر در انرژی، رسانه، دولت و تولید هدف قرار می دهد.
[رویداد رایگان بر اساس تقاضا: به Zane Bond Keeper Security در میزگرد Threatpost بپیوندید و بیاموزید که چگونه به طور ایمن به ماشین های خود از هر کجا دسترسی داشته باشید و اسناد حساس را از دفتر خانه خود به اشتراک بگذارید. اینجا تماشا کنید.]
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://threatpost.com/journalists-target-apts/180224/
- : دارد
- :است
- :نه
- $UP
- 2016
- 2021
- 2022
- 50
- 700
- a
- درباره ما
- دانشگاهیان
- دسترسی
- مطابق
- حساب ها
- بازیگری
- اقدامات
- فعال
- فعالانه
- فعالیت
- بازیگران
- اضافی
- آدرس
- پیشرفت
- پس از
- در برابر
- هم راستا
- تراز می کند
- به طور یکسان
- ادعا شده است
- اجازه دادن
- همچنین
- همیشه
- an
- و
- دیگر
- هر جا
- به نظر می رسد
- ظاهر می شود
- تقریبا
- آوریل
- APT
- هستند
- محدوده
- مسلح
- دور و بر
- مقالات
- AS
- آسیا
- حمله
- ارزیابی کنید
- مرتبط است
- At
- حمله
- حمله
- تلاشها
- توجه
- درپشتی
- BE
- بوده
- قبل از
- آغاز شد
- پشت سر
- بلاروس
- میان
- بدن
- اوراق قرضه
- هر دو
- مارکدار
- اشکالات
- بنا
- اما
- by
- نام
- کمپین بین المللی حقوق بشر
- مبارزات
- CAN
- نمی توان
- capitol
- حمل
- قطعا
- اطمینان
- چین
- چینی
- کلیک
- اقلیم
- جمع آوری
- مجموعه
- می آید
- عموما
- ارتباطات
- شرکت
- کامپیوتر
- رفتار
- انجام
- تایید شده
- تضاد
- استوار
- شامل
- پارسیان
- پوشش
- طراحی شده
- اعتبار
- مجوزها و اعتبارات
- جاری
- مشتریان
- سفارشی
- سایبر
- جاسوسی سایبری
- داده ها
- روز
- ارائه
- تحویل داده
- بستگی دارد
- طراحی
- پروژه
- دستگاه
- دستگاه ها
- دیجیتال
- گفتگو
- do
- اسناد و مدارک
- حوزه
- دونالد
- دونالد مغلوب ساختن پیشی جستن
- دانلود
- کاهش یافته است
- در طی
- هر
- در اوایل
- شرق
- تلاش
- پست الکترونیک
- ایمیل
- جاسازی کردن
- ظهور
- فعال
- انرژی
- تعامل
- جذاب
- مهندسی
- مورد تأیید
- موجودیت
- محیط
- اردوغان
- حوادث
- تا کنون
- هر
- همه چیز
- اجرا کردن
- جعلی
- فوریه
- پرونده
- پنج
- تمرکز
- متمرکز شده است
- تمرکز
- برای
- سابق
- یافت
- جعلی
- از جانب
- اساسی
- بیشتر
- افزایش
- به دست آورد
- داده
- هدف
- دولت
- گروه
- گروه ها
- گارد
- مشت
- محصول
- جمع آوری
- آیا
- مفید
- تاریخی
- صفحه اصلی
- دفتر خانه
- میزبان
- میزبانی وب
- خانه
- چگونه
- چگونه
- اما
- HTTPS
- شناسایی
- شناسایی
- if
- تصویر
- بلافاصله
- in
- مشمول
- از جمله
- به طور مستقل
- فرد
- افراد
- عفونت
- عفونت
- اطلاعات
- infosec
- الهام بخشیدن
- نصب
- نمونه ها
- اطلاعات
- مورد نظر
- علاقه
- بین المللی
- دعوت
- گرفتار
- درگیری
- IP
- ایران
- ایرانی
- اسلامی
- اسرائيل
- مسائل
- IT
- ITS
- ژان
- ژانویه
- کار
- فرصت های شغلی
- پیوستن
- روزنامه نگاران
- عدالت
- نگاه داشتن
- شناخته شده
- کشور کره
- فرود
- صفحات فرود
- دیر
- آخرین
- یاد گرفتن
- دروغ
- پسندیدن
- احتمالا
- لاین
- خطوط
- ارتباط دادن
- واقع شده
- نگاه کنيد
- شبیه
- کم
- کاهش
- دستگاه
- ماشین آلات
- عمدتا
- نرم افزارهای مخرب
- حکم
- تولید
- مارس
- مسائل
- حداکثر عرض
- رسانه ها
- جلسات
- پیام
- متوسط
- خاورمیانه
- بیش
- اکثر
- جنبش ها
- چندگانه
- ملی
- امنیت ملی
- شبکه
- اخبار
- عضویت در خبرنامه
- مطبوعات
- شمال
- کره شمالی
- به ویژه
- اشاره کرد
- بدنام
- رمان
- هدف
- اهداف
- مشاهده
- رخ داده است
- of
- ارائه
- دفتر
- on
- بر روی تقاضا
- ONE
- مداوم
- باز
- فرصت ها
- or
- سفارش
- کدام سازمان ها
- سازمان های
- دیگر
- خارج
- طرح کلی
- به طور کلی
- مروری
- با ما
- صفحات
- ویژه
- حزب
- اصرار
- شخصی
- پرسنل
- فیش
- فیشینگ
- حملات فیشینگ
- کمپین فیشینگ
- سیستم عامل
- افلاطون
- هوش داده افلاطون
- PlatoData
- سیاست
- سیاسی
- سیاست
- به شمار
- پست
- رئيس جمهور
- رئیس جمهور دونالد ترامپ
- پربار
- تبلیغات
- عمومی
- روابط عمومی (Public Relations)
- اخیر
- تازه
- اشاره
- بدون در نظر گرفتن
- رژیمها
- مربوط
- روابط
- رله
- یادبود
- دور
- دسترسی از راه دور
- گزارش
- گزارش
- گزارش
- مشهور
- محققان
- مسئوليت
- انقلابی
- جاده
- به طور معمول
- سلطنتی
- حاکم
- روسیه
- s
- سعید
- همان
- عربستان
- عربستان سعودی
- گفتن
- امن
- ایمن
- تیم امنیت لاتاری
- مشاهده گردید
- حساس
- فرستاده
- سپتامبر
- سرور
- اشتراک گذاری
- باید
- مشابه
- پس از
- از آنجا که 2016
- سیفون
- سایت
- سایت
- آگاهی
- مهندسی اجتماعی
- رسانه های اجتماعی
- رسانه های اجتماعی
- برخی از
- کسی
- جنوب شرقی
- آسیای جنوب شرقی
- خاص
- به طور خاص
- گسترش
- حالت
- آغاز شده
- دولت
- ایالات
- ضربه
- موضوع
- پشتیبانی
- نظارت
- مشکوک
- روشن
- تاکتیک
- مصرف
- هدف
- هدف قرار
- هدف گذاری
- اهداف
- که
- La
- جهان
- سرقت
- شان
- آنها
- خودشان
- اینها
- آنها
- این
- کسانی که
- اگر چه؟
- تهدید
- بازیگران تهدید
- سه
- پنج شنبه
- روابط
- زمان
- به
- تاپیک
- مسیر
- پیگردی
- تروجان
- صدای شیپور
- ترکیه
- ترکی
- تبدیل
- توییتر
- دو
- نوع
- به طور معمول
- ما
- اوکراین
- در نهایت
- متحد
- ایالات متحده
- بعید
- بر
- URL
- استفاده کنید
- استفاده
- کاربر
- تصدیق
- مختلف
- از طريق
- مجازی
- جلسات مجازی
- جنگ
- بود
- مسیر..
- وب
- هفته
- بود
- چه زمانی
- که
- سفید
- کاخ سفید
- WHO
- اراده
- با
- در داخل
- کارگر
- جهان
- خواهد بود
- نوشت
- شما
- زفیرنت