روزنامه نگاران به عنوان هدف حمله مورد علاقه برای APT ها ظاهر می شوند

بازنشر افلاطون

دنبال: 0

از سال 2021، گروه‌های تهدیدکننده مختلف همسو با دولت، روزنامه‌نگاران را هدف قرار داده‌اند تا داده‌ها و اعتبارنامه‌ها را جمع‌آوری کنند و همچنین آنها را ردیابی کنند.

حملات فیشینگ هدفمند به چندین عامل تهدید ردیابی می شود که هر کدام به طور مستقل بر سرقت اعتبار و داده های حساس و ردیابی موقعیت جغرافیایی خبرنگاران تمرکز کرده اند.

در گزارش پنج‌شنبه‌ای توسط Proofpoint، محققان تلاش‌های فردی گروه‌های تهدید مداوم (APT) را که به گفته آنها با چین، کره شمالی، ایران و ترکیه همسو هستند، تشریح کردند. به گفته محققان، حملات از اوایل سال 2021 آغاز شد و همچنان ادامه دارد.

مطابق به گزارش، APTها مستقل از یکدیگر عمل می کنند اما هدف کلی یکسانی از هدف قرار دادن روزنامه نگاران دارند. تاکتیک‌ها نیز مشابه هستند، با عوامل تهدیدکننده که حساب‌های ایمیل و رسانه‌های اجتماعی را به عنوان حملات فیشینگ در کمپین‌های جاسوسی سایبری هدف قرار می‌دهند.

بازیگران تهدید که اغلب خود را به عنوان روزنامه نگار معرفی می کنند، بر کمپین های فیشینگ با هدف جمع آوری اعتبار، سرقت داده های مفید برای رژیم های خاص و نظارت دیجیتالی روزنامه نگاران سیاسی متمرکز شده اند.

APT Tradecraft: The Phish

به گفته محققان، این حملات معمولاً شامل نوعی مهندسی اجتماعی برای پایین آوردن گارد اهداف به منظور ترغیب آنها به دانلود و اجرای بارهای مخرب مختلف بر روی دستگاه های دیجیتال شخصی خود است. به گفته محققان، Lures شامل ایمیل‌ها و پیام‌هایی بود که از طریق پلتفرم‌های رسانه‌های اجتماعی مختلف در مورد موضوعات مرتبط با حوزه تمرکز سیاسی آنها ارسال می‌شد.

[رویداد رایگان بر اساس تقاضا: به Zane Bond Keeper Security در میزگرد Threatpost بپیوندید و بیاموزید که چگونه به طور ایمن به ماشین های خود از هر کجا دسترسی داشته باشید و اسناد حساس را از دفتر خانه خود به اشتراک بگذارید. اینجا تماشا کنید.]

در موارد مختلف، مهاجمان به منظور پایداری در شبکه گیرنده و انجام شناسایی جانبی شبکه و انتشار آلودگی‌های بدافزار اضافی در شبکه هدف، در سطح پایینی قرار می‌گیرند و آلودگی به بدافزار را ارسال می‌کنند.

تاکتیک‌های ثانویه شامل ردیابی یا زیر نظر گرفتن خبرنگاران بود. Proofpoint گفت که دشمنان از چراغ های وب نصب شده در دستگاه های خبرنگاران برای انجام نظارت استفاده کردند.

روزنامه‌نگاران قبلاً مورد هدف قرار گرفته‌اند، اما نه به این شکل

آنها خاطرنشان کردند، در حالی که آخرین گزارش برخی از جدیدترین فعالیت ها علیه روزنامه نگاران را دنبال می کند، هدف قرار دادن این گروه از افراد با توجه به نوع اطلاعاتی که روزنامه نگاران در مورد مسائل سیاسی و اجتماعی-اقتصادی به آن دسترسی دارند، مطمئنا چیز جدیدی نیست.

محققان نوشتند: "بازیگران APT، صرف نظر از وابستگی دولتی خود، همیشه وظیفه هدف قرار دادن روزنامه نگاران و سازمان های رسانه ای را داشته و خواهند داشت و از شخصیت های مرتبط برای پیشبرد اهداف و اولویت های مجموعه خود استفاده خواهند کرد."

علاوه بر این، بعید است که تمرکز APTها بر رسانه‌ها هرگز از بین نرود، که باید الهام بخش روزنامه‌نگاران باشد تا هر کاری که می‌توانند برای ایمن کردن ارتباطات و داده‌های حساس خود انجام دهند.

حمله APTهای مورد حمایت چین در ایالات متحده

بین ژانویه و فوریه 2021، محققان Proofpoint پنج کمپین را شناسایی کردند

چینی APT TA412، همچنین به عنوان شناخته شده است زیرکونیومبه گفته محققان، روزنامه‌نگاران مستقر در ایالات متحده، به ویژه آن‌هایی که در جریان رویدادهایی که توجه بین‌المللی را به خود جلب کرده‌اند، مهم‌ترین آنها را پوشش می‌دهند.

آنها گفتند که نحوه طراحی کمپین‌ها به فضای سیاسی فعلی ایالات متحده بستگی داشت و مهاجمان بسته به اینکه کدام روزنامه‌نگار موضوعاتی را که دولت چین به آن علاقه دارد پوشش می‌دادند، اهداف را تغییر دادند.

آنها گفتند که یک کمپین فیشینگ شناسایی در روزهای قبل از حمله 6 ژانویه به ساختمان کنگره ایالات متحده رخ داد، و مهاجمان در این مدت به طور خاص بر روی خبرنگاران کاخ سفید و مستقر در واشنگتن تمرکز کردند.

به گفته محققان، مهاجم از خطوط موضوعی برگرفته از مقالات خبری اخیر ایالات متحده مرتبط با موضوعات سیاسی مرتبط در آن زمان، از جمله اقدامات دونالد ترامپ، رئیس جمهور سابق، جنبش های سیاسی ایالات متحده مرتبط با چین و اخیراً، موضع و دخالت ایالات متحده در جنگ روسیه علیه اوکراین استفاده کرد. گفت.

بارهای مختلف

در کمپین‌های مشاهده‌شده، زیرکونیوم به‌عنوان چراغ‌های وب محموله خود، تاکتیکی مطابق با مخرب‌ها استفاده کرد. کمپین های جاسوسی سایبری به گفته محققان، علیه روزنامه نگارانی که APT از سال 2016 انجام داده است.

فانوس های وب که معمولاً به عنوان پیکسل های ردیابی، چراغ های ردیابی یا باگ های وب شناخته می شوند، یک شی غیرقابل مشاهده ابرپیوندی را در بدنه ایمیل جاسازی می کنند که وقتی فعال می شود، سعی می کند یک فایل تصویری خوش خیم را از یک سرور کنترل شده توسط بازیگر بازیابی کند.

آنها نوشتند: "محققان Proofpoint ارزیابی می کنند که این کمپین ها برای تأیید فعال بودن ایمیل های هدفمند و به دست آوردن اطلاعات اساسی در مورد محیط شبکه گیرندگان در نظر گرفته شده است."

محققین APT دیگری با پشتیبانی چینی به نام TA459 را در اواخر آوریل 2022 مشاهده کردند که پرسنل رسانه ای در جنوب شرقی آسیا را با ایمیل های حاوی پیوست مخرب Royal Road RTF هدف قرار می داد، در صورت باز شدن، بدافزار Chinoxy را نصب و اجرا می کرد – یک درب پشتی که برای به دست آوردن پایداری در یک دستگاه استفاده می شود. ماشین قربانی

محققان خاطرنشان کردند که نهاد مورد نظر مسئول گزارش در مورد درگیری روسیه و اوکراین بود که با مأموریت تاریخی TA459 برای جمع آوری موضوعات اطلاعاتی مرتبط با روسیه و بلاروس مطابقت دارد.

فرصت های شغلی جعلی از کره شمالی

محققان همچنین TA404 همسو با کره شمالی را مشاهده کردند که بیشتر به عنوان شناخته شده است جذامیآنها گزارش دادند که در اوایل سال 2022 یک سازمان رسانه ای مستقر در ایالات متحده را با حملات فیشینگ هدف قرار دادند که به نظر می رسید فرصت های شغلی را از شرکت های معتبر به خبرنگاران ارائه می دهد. حمله یادآور الف است مشابه در برابر مهندسانی که این گروه در سال 2021 راه اندازی کرد.

محققان درباره کمپین فیشینگ اخیر نوشتند: «این کار با فیشینگ شناسایی شروع شد که از URL های سفارشی برای هر گیرنده استفاده می کرد. «این نشانی‌های اینترنتی جعل یک آگهی شغلی با صفحات فرود طراحی شده‌اند که شبیه یک سایت آگهی شغلی مارک دار هستند».

به گفته محققان، با این حال، سایت‌ها تقلبی بودند و URLها برای انتقال اطلاعات شناسایی رایانه یا دستگاهی که شخصی از آن کار می‌کرد استفاده می‌کرد تا به میزبان اجازه دهد تا هدف مورد نظر را پیگیری کند.

APT مورد حمایت ترکیه اعتبار توییتر را هدف قرار می دهد

APTهایی که ادعا می‌شود با دولت ترکیه ارتباط دارند، روزنامه‌نگاران را نیز هدف قرار داده‌اند، که یک کمپین شامل یک «بازیگر تهدید پرکار» TA482 توسط Proofpoint مشاهده شده است. به گفته محققان، APT از اوایل سال 2022 به طور فعال خبرنگاران را از طریق حساب‌های توییتر در تلاش برای سرقت اطلاعات از روزنامه‌نگاران و سازمان‌های رسانه‌ای مستقر در ایالات متحده هدف قرار داده است.

پژوهشگران خاطرنشان کردند که به نظر می رسد انگیزه این گروه گسترش تبلیغات در حمایت از رجب طیب اردوغان، رئیس جمهور ترکیه، حزب سیاسی حاکم ترکیه، حزب عدالت و توسعه باشد، اگرچه نمی توان با قطعیت این موضوع را تایید کرد.

این کمپین‌ها از ایمیل‌های فیشینگ که معمولاً مربوط به امنیت توییتر است استفاده می‌کنند - کاربر را در مورد ورود مشکوک هشدار می‌دهد تا توجه گیرنده را جلب کند و در صورت کلیک کردن روی یک پیوند، آنها را به صفحه جمع‌آوری اعتبار می‌برد که جعل هویت توییتر است.

اعتبارنامه برداشت APTs ایرانی

پروف پوینت دریافته است که APTهای مرتبط با ایران به ویژه در حمله به روزنامه نگاران و روزنامه ها فعال بوده اند و معمولاً خود را به عنوان روزنامه نگاران در حملات برای درگیر شدن در نظارت بر اهداف و گرفتن اعتبار آنها نشان می دهند.

یکی از فعال ترین عاملان این حملات TA453 معروف به بچه گربه جذاب، یک گروه بدنام پروف پوینت گفت که با تلاش های جمع آوری اطلاعات سپاه پاسداران انقلاب اسلامی ایران هماهنگ است.

این گروه بدنام است که خود را به عنوان روزنامه نگاران از سراسر جهان برای هدف قرار دادن روزنامه نگاران، دانشگاهیان و محققان به طور یکسان با درگیر شدن در بحث در مورد

سیاست خارجی یا سایر موضوعات مرتبط با خاورمیانه، پس از آن از طریق یک PDF سفارشی، اما خوش خیم، به جلسات مجازی دعوت می شوند.

با این حال، به گفته محققان، PDF – که معمولاً از سرویس‌های میزبانی فایل ارائه می‌شود – تقریباً همیشه حاوی پیوندی به کوتاه‌کننده URL و ردیاب IP است که اهداف را به دامنه‌های جمع‌آوری اعتبار کنترل شده توسط بازیگر هدایت می‌کند.

TA456 که با نام Tortoiseshell نیز شناخته می‌شود، یکی دیگر از بازیگران تهدیدکننده همسو با ایران است که به طور معمول به عنوان سازمان‌های رسانه‌ای ظاهر می‌شود تا با ایمیل‌هایی با مضمون خبرنامه که حاوی فانوس‌های وب است که می‌تواند اهداف را ردیابی کند، خبرنگاران را هدف قرار می‌دهد.

یکی دیگر از بازیگران ایرانی، TA457، پشت پرسونای یک سازمان رسانه ای جعلی به نام "iNews Reporter" پنهان می شود تا بدافزار را به پرسنل روابط عمومی برساند.

محققان گفتند که برای شرکت های مستقر در ایالات متحده، اسرائیل و عربستان سعودی. آنها گفتند که بین سپتامبر 2021 و مارس 2022، Proofpoint کمپین هایی را توسط بازیگر پرکار تهدید مشاهده کرد که تقریباً هر دو تا سه هفته یکبار انجام می شد.

در یک کمپین که در مارس 2022 رخ داد، TA457 ایمیلی با موضوع کنایه آمیز «جنگ سایبری ایران» ارسال کرد که در نهایت یک تروجان دسترسی از راه دور بر روی ماشین‌های قربانیان رها شد. محققان گزارش دادند که این کمپین هم آدرس های ایمیل فردی و هم گروهی را در تعداد انگشت شماری از مشتریان Proofpoint درگیر در انرژی، رسانه، دولت و تولید هدف قرار می دهد.

[رویداد رایگان بر اساس تقاضا: به Zane Bond Keeper Security در میزگرد Threatpost بپیوندید و بیاموزید که چگونه به طور ایمن به ماشین های خود از هر کجا دسترسی داشته باشید و اسناد حساس را از دفتر خانه خود به اشتراک بگذارید. اینجا تماشا کنید.]