#Iranian #NIDS
شاید تا به حال برای شما هم این سوال هم مطرح شده است که شرکت های فعال در حوزه دفاع سایبری در ایران چه محصولات و مکانیزم هایی در خصوص مقابله با حملات سایبری اندیشیده اند, یکی از شرکت های فعال این حوزه امن افزار گستر شریف است که به پشتوانه دانشگاه شریف و خصولتی بودنش توانسته در ایران پیشتازی کند,
اما با یک بررسی اجمالی و مقایسه تدابیر این شرکت متوجه نواقصی هم شده ایم از جمله تکیه بیش از حد به مکانیزم های NIDS و MidPoint ها که بصورت اغراق آمیز بیان شده که میتواند انواع حملات را با درصد بالا ۹۰ شکار کند, این درحالیست که بسیاری از حملات سایبری APT در دنیا برپایه اکسپلویت هایی طراحی میشود که آمیخته با پروتکل های حیاطیست,
آیا دیوایس های ایرانی میتواند متوجه پایلود شدن یک پروتکل در لایه ماشین کد بشوند؟آن هم اگر برپایه مبهم سازی های باینری پی ریزی شده باشد, این تنها یک نمونه از ابهامات موجود است, محصولاتی مانند Sana-DFS یا Parham میتواند کارآمدی خوبی در مقابل حملات روتین و معمول نشان دهد, اما آیا برای تکنیک های بیشمار #RT هم کارآمدی و عملکرد دارد? بدلیل مخفی بودن محصولات جواب سوالات سخت است.
@Unk9vvN
شاید تا به حال برای شما هم این سوال هم مطرح شده است که شرکت های فعال در حوزه دفاع سایبری در ایران چه محصولات و مکانیزم هایی در خصوص مقابله با حملات سایبری اندیشیده اند, یکی از شرکت های فعال این حوزه امن افزار گستر شریف است که به پشتوانه دانشگاه شریف و خصولتی بودنش توانسته در ایران پیشتازی کند,
اما با یک بررسی اجمالی و مقایسه تدابیر این شرکت متوجه نواقصی هم شده ایم از جمله تکیه بیش از حد به مکانیزم های NIDS و MidPoint ها که بصورت اغراق آمیز بیان شده که میتواند انواع حملات را با درصد بالا ۹۰ شکار کند, این درحالیست که بسیاری از حملات سایبری APT در دنیا برپایه اکسپلویت هایی طراحی میشود که آمیخته با پروتکل های حیاطیست,
آیا دیوایس های ایرانی میتواند متوجه پایلود شدن یک پروتکل در لایه ماشین کد بشوند؟آن هم اگر برپایه مبهم سازی های باینری پی ریزی شده باشد, این تنها یک نمونه از ابهامات موجود است, محصولاتی مانند Sana-DFS یا Parham میتواند کارآمدی خوبی در مقابل حملات روتین و معمول نشان دهد, اما آیا برای تکنیک های بیشمار #RT هم کارآمدی و عملکرد دارد? بدلیل مخفی بودن محصولات جواب سوالات سخت است.
@Unk9vvN
#Iranian #APTs
سوابق APT تیم های قرمز منتسب به دستگاه های ایرانی بسیار نکات تکنیکی رو با خودش به همراه داره که تراز فنی این دست تیم هارو در مقایسه با تیم های قرمز فعال در کشورهای دیگه مانند SpecterOps رو میتوان بدست آورد, از این روی کشور ما در عرصه تولیدات محتوا و ابزارها و مقالات دست اول کمبودهای بسیاری دارد و از این روی خلع خدمات تیم های قرمز حرفه ای در کشور احساس میشود,
عملکرد Red Teamer های ایران در پلن های مختلف زنجیره حمله مانند Internal Recon و Escalate Privileges تقریبا موارد یکسان و روش های در دسترسی استفاده کرده اند, از طرفی جامعیت اشراف اطلاعاتی از فضای تکنیکی تهاجمی و خلاقیت طراحی و کمی هنر در مبهم سازی و مهندسی اجتماعی تمیز عامل موقعیت این تیم ها بوده است,
مورد بعدی استفاده متعدد از الگوریتم DGA در خصوص Anti Forensic کردن ارتباط با CnC و البته در روش های دیگه استفاده از سرویس های DNS میانی بسیار قابل توجه هستش, استفاده از Exfiltration بر بستر DNS و RDP بسیار به چشم میخوره و همینطور Compress داده ها در Stage های مختلف...
https://github.com/RedDrip7/APT_Digital_Weapon/tree/master/APT34
@Unk9vvN
سوابق APT تیم های قرمز منتسب به دستگاه های ایرانی بسیار نکات تکنیکی رو با خودش به همراه داره که تراز فنی این دست تیم هارو در مقایسه با تیم های قرمز فعال در کشورهای دیگه مانند SpecterOps رو میتوان بدست آورد, از این روی کشور ما در عرصه تولیدات محتوا و ابزارها و مقالات دست اول کمبودهای بسیاری دارد و از این روی خلع خدمات تیم های قرمز حرفه ای در کشور احساس میشود,
عملکرد Red Teamer های ایران در پلن های مختلف زنجیره حمله مانند Internal Recon و Escalate Privileges تقریبا موارد یکسان و روش های در دسترسی استفاده کرده اند, از طرفی جامعیت اشراف اطلاعاتی از فضای تکنیکی تهاجمی و خلاقیت طراحی و کمی هنر در مبهم سازی و مهندسی اجتماعی تمیز عامل موقعیت این تیم ها بوده است,
مورد بعدی استفاده متعدد از الگوریتم DGA در خصوص Anti Forensic کردن ارتباط با CnC و البته در روش های دیگه استفاده از سرویس های DNS میانی بسیار قابل توجه هستش, استفاده از Exfiltration بر بستر DNS و RDP بسیار به چشم میخوره و همینطور Compress داده ها در Stage های مختلف...
https://github.com/RedDrip7/APT_Digital_Weapon/tree/master/APT34
@Unk9vvN
#Social_Engineering #Iranian #APTs
تا الان صحبت از تکنیک های فنی تیم های ایرانی در حملات APT زیاد مطرح کردیم، اما راجب بخش اول این حملات یعنی مهندسی اجتماعی این حملات خیلی نپرداختیم.
در تصویر دوم اشاره شده که ایران دوبار حمله به برخی ارگان های اسرائیل کرده که شناسایی هم شده،
در تصویر سوم اشاره شده که اول قربانی که یک کارمند بوده در سازمان هدف، شناسایی شده و دپارتمان مربوطه مورد توجه قرار گرفته (شناسایی میدانی شده) و به همین منظور یک وبسایت Phishing برای دپارتمان این کارمند ساخته شده است.
اما تصویر ابزارهایی که استفاده شده هم دیده میشه که چون مهندسی اجتماعی مبتنی بر فایل فرمت Excel هستش و یک Macro مبهم سازی درش درج شده، به محض اجرای فایل اولین Stage حمله راه اندازی خواهد شد،
اما راجب تصاویر بعدی صحبتی نمیکنیم چون مشخصه و قبلا بهش پرداخته شده، اما به این نکته توجه کنید که اولا حمله مبتنی بر Excel بوده دوما بصورت هدفمند در معرض قربانی قرار گرفته، این نوع از شناسایی های میدانی برای تیم های دولتی امکان پذیره و نه هر تیم دیگری و این یک فاکتور تعیین کننده ای است.
Reference
@Unk9vvN
تا الان صحبت از تکنیک های فنی تیم های ایرانی در حملات APT زیاد مطرح کردیم، اما راجب بخش اول این حملات یعنی مهندسی اجتماعی این حملات خیلی نپرداختیم.
در تصویر دوم اشاره شده که ایران دوبار حمله به برخی ارگان های اسرائیل کرده که شناسایی هم شده،
در تصویر سوم اشاره شده که اول قربانی که یک کارمند بوده در سازمان هدف، شناسایی شده و دپارتمان مربوطه مورد توجه قرار گرفته (شناسایی میدانی شده) و به همین منظور یک وبسایت Phishing برای دپارتمان این کارمند ساخته شده است.
اما تصویر ابزارهایی که استفاده شده هم دیده میشه که چون مهندسی اجتماعی مبتنی بر فایل فرمت Excel هستش و یک Macro مبهم سازی درش درج شده، به محض اجرای فایل اولین Stage حمله راه اندازی خواهد شد،
اما راجب تصاویر بعدی صحبتی نمیکنیم چون مشخصه و قبلا بهش پرداخته شده، اما به این نکته توجه کنید که اولا حمله مبتنی بر Excel بوده دوما بصورت هدفمند در معرض قربانی قرار گرفته، این نوع از شناسایی های میدانی برای تیم های دولتی امکان پذیره و نه هر تیم دیگری و این یک فاکتور تعیین کننده ای است.
Reference
@Unk9vvN
#Powershortshell Stealer for #Iranian
در روزهای گذشته یک حمله به برخی ارگان های داخل کشور اتفاق افتاده مبتنی بر آسیب پذیری CVE-2021-40444 که یک آسیب پذیری از نوع فایل فرمت Word هستش و از قرار معلوم موفق هم بوده
مهاجمین طبق معمول با استفاده از Spear Phishing Mail شروع به پخش ایمیل جعلی کردند که یک فایل word بهش Attachment شده بود، و جالبه که با استفاده از Internal Recon سیستم عامل قربانی ها مامور بر گرفتن دسترسی از مخاطبان فارسی زبان گرفته، یعنی فقط ایرانی ها هدف قرار گرفتند
محتوای ایمیل مشخصه که محتوای تحریکات سیاسی داره، اما در مورد ابعاد فنی میبایست گفت که مراحل Initial مربوط به Exploit به این صورت بوده که اول یک document ساخته میشه یک Bitmap Image اضافه میشه بعد doc بسته شده و Unzip میشه و فایل document.xml.rels بهش یک دامنه و فایل External معرفی میشه
در ادامه فایل document.xml باید به OLEObject اضافه شده که مبتنی بر اون COM Object مربوط به DLL ها یعنی rundll32.exe فراخوان خواهد شد و جالبه که از cpl برای اجرای فرمت inf استفاده شده که یک جبر مربوط به خود آسیب پذیری بوده.
@Unk9vvN
در روزهای گذشته یک حمله به برخی ارگان های داخل کشور اتفاق افتاده مبتنی بر آسیب پذیری CVE-2021-40444 که یک آسیب پذیری از نوع فایل فرمت Word هستش و از قرار معلوم موفق هم بوده
مهاجمین طبق معمول با استفاده از Spear Phishing Mail شروع به پخش ایمیل جعلی کردند که یک فایل word بهش Attachment شده بود، و جالبه که با استفاده از Internal Recon سیستم عامل قربانی ها مامور بر گرفتن دسترسی از مخاطبان فارسی زبان گرفته، یعنی فقط ایرانی ها هدف قرار گرفتند
محتوای ایمیل مشخصه که محتوای تحریکات سیاسی داره، اما در مورد ابعاد فنی میبایست گفت که مراحل Initial مربوط به Exploit به این صورت بوده که اول یک document ساخته میشه یک Bitmap Image اضافه میشه بعد doc بسته شده و Unzip میشه و فایل document.xml.rels بهش یک دامنه و فایل External معرفی میشه
در ادامه فایل document.xml باید به OLEObject اضافه شده که مبتنی بر اون COM Object مربوط به DLL ها یعنی rundll32.exe فراخوان خواهد شد و جالبه که از cpl برای اجرای فرمت inf استفاده شده که یک جبر مربوط به خود آسیب پذیری بوده.
@Unk9vvN
#Iranian #APT #MuddyWater Target #Turkish
اخیرا تیم MuddyWater که منتصب به دستگاه نظارتی ایران است، اقدام به هدف قرار دادن کاربران ترکیه کرده است، این نفوذ مبتنی بر فایل فرمت PDF بوده که قربانیان رو مجاب به کلیک بر پیام مهندسی اجتماعی خود میکنه، و اینطور اولین مرحله زنجیره حمله رخ میده،
در اولین قدم بعد از کلیک بر گزینه دانلود، ارتباط با یک سرور اشتراک گذاری فایل، فایل هایی با فرمت XLS که از خانواده Excel هستند دریافت میشه این فایل ها دارای محتواهایی به زبان ترکی است که شبیه سازی اسناد مشروع وزارتخانه بهداشت است.
در قدم بعدی مایکروهایی که در XLS قرار داده شده به اجرا در آمده و کلید Reg برای ماندگاری در سیستم تنظیم میگردد و بعد از آن یک درخواست به canarytokens.com زده میشود بواسطه توکن از قبل تعریف شده ای Stage های بعدی زنجیره حمله دانلود میشود که فایل های مبهم سازی شده پاورشل پایه هستند.
اما در ادامه فایل VBS دانلود شده مامور اجرای فایل PS1 شده که خود فایل PS1 اقدام به دانلود دیگری که پیلود اصلی است خواهد کرد و بعد از دانلود آنرا اجرا میکند.
Reference
@Unk9vvN
اخیرا تیم MuddyWater که منتصب به دستگاه نظارتی ایران است، اقدام به هدف قرار دادن کاربران ترکیه کرده است، این نفوذ مبتنی بر فایل فرمت PDF بوده که قربانیان رو مجاب به کلیک بر پیام مهندسی اجتماعی خود میکنه، و اینطور اولین مرحله زنجیره حمله رخ میده،
در اولین قدم بعد از کلیک بر گزینه دانلود، ارتباط با یک سرور اشتراک گذاری فایل، فایل هایی با فرمت XLS که از خانواده Excel هستند دریافت میشه این فایل ها دارای محتواهایی به زبان ترکی است که شبیه سازی اسناد مشروع وزارتخانه بهداشت است.
در قدم بعدی مایکروهایی که در XLS قرار داده شده به اجرا در آمده و کلید Reg برای ماندگاری در سیستم تنظیم میگردد و بعد از آن یک درخواست به canarytokens.com زده میشود بواسطه توکن از قبل تعریف شده ای Stage های بعدی زنجیره حمله دانلود میشود که فایل های مبهم سازی شده پاورشل پایه هستند.
اما در ادامه فایل VBS دانلود شده مامور اجرای فایل PS1 شده که خود فایل PS1 اقدام به دانلود دیگری که پیلود اصلی است خواهد کرد و بعد از دانلود آنرا اجرا میکند.
Reference
@Unk9vvN
#IoB #APT #Iranian
شاخه رفتاری چیست؟ شاخصه رفتاری یا Indicator of Behavior به معنی رصد و شناسایی ای است که، مبتنی بر رفتار تاکتیکی و تکنیکی کد مندرج در فایل های مخرب (IoC) قرار دارد.
گاه مهاجمان #APT اقدام به رفتار غیر حرفه ای میکنند و کد های مورد استفاده در حملات خود را در فضاهای عمومی مثل gist یا pastebin و غیره، که با نام مستعار یا حساب کاربری اصلی خود فعال است، منتشر میسازند.
همین موضوع موجب شناسایی اونها بدست شرکت های فعال در حوزه جرم شناسی دیجیتال میشود، برای مثال در گزارش شرکت cybereason یکی از نام هاي کاربری مورد استفاده مهاجم را بررسی کرده و نمونه کد منتشر شده بدست وی را با معادل آن در فایل های مخرب استفاده شده در حمله تطبیق داده و از این روی منشع حمله و کشور آنرا شناسایی کرده است.
https://www.cybereason.com/blog/research/powerless-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage
@Unk9vvN
شاخه رفتاری چیست؟ شاخصه رفتاری یا Indicator of Behavior به معنی رصد و شناسایی ای است که، مبتنی بر رفتار تاکتیکی و تکنیکی کد مندرج در فایل های مخرب (IoC) قرار دارد.
گاه مهاجمان #APT اقدام به رفتار غیر حرفه ای میکنند و کد های مورد استفاده در حملات خود را در فضاهای عمومی مثل gist یا pastebin و غیره، که با نام مستعار یا حساب کاربری اصلی خود فعال است، منتشر میسازند.
همین موضوع موجب شناسایی اونها بدست شرکت های فعال در حوزه جرم شناسی دیجیتال میشود، برای مثال در گزارش شرکت cybereason یکی از نام هاي کاربری مورد استفاده مهاجم را بررسی کرده و نمونه کد منتشر شده بدست وی را با معادل آن در فایل های مخرب استفاده شده در حمله تطبیق داده و از این روی منشع حمله و کشور آنرا شناسایی کرده است.
https://www.cybereason.com/blog/research/powerless-trojan-iranian-apt-phosphorus-adds-new-powershell-backdoor-for-espionage
@Unk9vvN
#Domestic #Kitten Targeting #Iranian on #Android #Malware App
اخیرا گزارشی از تیم تحقیقاتی ESET بیرون اومده در خصوص بدافزار اندرویدی که در قالب یک نرم افزار مقاله سرا و از طریق یک وبسایت فعال در عرصه مقالات و فروش کتاب انتشار یافته است. مدل پخش و ایجاد دسترسی اولیه، مبتنی بر لینک مستقیم و به ظاهر صفحه گوگل پلی انجام شده که در تصاویر پست مشاهده میکنید.
این بدافزار قبلا هم فعال بوده (APT-C-50) و به گفته ESET با وبسایتی جعلی جدیدی دوباره فعال شده است، بررسی های انجام شده نشون میده که این بدافزار قرار بوده که مامور بر جاسوسی از کاربران ایرانی باشه و دسترسی های مطرحه در AndroidManifest.xml شامل موقعیت مکانی، تاریخچه تماس ها، رکورد تماس ها، اجرای برنامه ها، اطلاعات گوشی، لیست مخاطبین و اطلاعیه های برنامه های دیگه هستش...
اما روش کار C&C یا خط فرمان این جاسوس افزار، مبتنی بر ارسال و دریافت درخواست های مبتنی بر Web Service طراحی شده بوده که دریافت اطلاعات و ارسال فرمان ها بصورت مبهم سازی شده انجام می شده است.
@Unk9vvN
اخیرا گزارشی از تیم تحقیقاتی ESET بیرون اومده در خصوص بدافزار اندرویدی که در قالب یک نرم افزار مقاله سرا و از طریق یک وبسایت فعال در عرصه مقالات و فروش کتاب انتشار یافته است. مدل پخش و ایجاد دسترسی اولیه، مبتنی بر لینک مستقیم و به ظاهر صفحه گوگل پلی انجام شده که در تصاویر پست مشاهده میکنید.
این بدافزار قبلا هم فعال بوده (APT-C-50) و به گفته ESET با وبسایتی جعلی جدیدی دوباره فعال شده است، بررسی های انجام شده نشون میده که این بدافزار قرار بوده که مامور بر جاسوسی از کاربران ایرانی باشه و دسترسی های مطرحه در AndroidManifest.xml شامل موقعیت مکانی، تاریخچه تماس ها، رکورد تماس ها، اجرای برنامه ها، اطلاعات گوشی، لیست مخاطبین و اطلاعیه های برنامه های دیگه هستش...
اما روش کار C&C یا خط فرمان این جاسوس افزار، مبتنی بر ارسال و دریافت درخواست های مبتنی بر Web Service طراحی شده بوده که دریافت اطلاعات و ارسال فرمان ها بصورت مبهم سازی شده انجام می شده است.
@Unk9vvN
#Mosesstaff #Iranian #APT #Ransomware
دو گزارش از شرکت های CheckPoint و Cybereason در خصوص TTP حملات تیم ایرانی عصای موسی به قربانیان خود منتشر شده که دارای نکات جالبی هستش، در گزارش مطرح شده که این تیم برای ایجاد دسترسی، از آسیب پذیری ناشناخته ای که در خصوص سرورهای ME Exchange استفاده کرده.
اما رفتار تکنیکی تاکتیکی دیگری که در تیم عصای موسی مطرح بوده، استفاده از ابزارهای PsExec، WMIC و Powershell در خصوص جا به جایی در سیستم ها بوده، همچنین در مرحله Impact حمله این تیم از ابزار عمومی DiskCryptor استفاده کرده در راستای رمزنگاری فایل ها و قفل گذاری بر روی Bootloader سیستم قربانی. مورد بعد استفاده از Webshell مبهم سازی شده که با رمزی Hash شده محافظت می شده و مهاجم میبایست رمز رو بصورت MD5 وارد میکرده تا وارد Webshell بشه.
اما نکته مهم استفاده از درایور
@Unk9vvN
دو گزارش از شرکت های CheckPoint و Cybereason در خصوص TTP حملات تیم ایرانی عصای موسی به قربانیان خود منتشر شده که دارای نکات جالبی هستش، در گزارش مطرح شده که این تیم برای ایجاد دسترسی، از آسیب پذیری ناشناخته ای که در خصوص سرورهای ME Exchange استفاده کرده.
اما رفتار تکنیکی تاکتیکی دیگری که در تیم عصای موسی مطرح بوده، استفاده از ابزارهای PsExec، WMIC و Powershell در خصوص جا به جایی در سیستم ها بوده، همچنین در مرحله Impact حمله این تیم از ابزار عمومی DiskCryptor استفاده کرده در راستای رمزنگاری فایل ها و قفل گذاری بر روی Bootloader سیستم قربانی. مورد بعد استفاده از Webshell مبهم سازی شده که با رمزی Hash شده محافظت می شده و مهاجم میبایست رمز رو بصورت MD5 وارد میکرده تا وارد Webshell بشه.
اما نکته مهم استفاده از درایور
DCSrv.sys به عنوان یک Rootkit و PyDCrypt به عنوان بستر ساز کل عملیات و تعامل با C2 که به زبان Python و با PyInstaller اون رو Compile و با سوئیچ key— براش رمزی قرار داده میشه و نهایتا اون رو اجرا میکنه...@Unk9vvN
#EyeSpy #Spyware #Trojan #Iranian
با برقراری سیاست های غلط و غیر حرفه ای که در خصوص فیلترینگ اینترنت در ایران انجام شد، موجبات سوء استفاده تیم های سایبری را به بهانه دور زدن فیلترینگ فراهم کرده است.
به گزارش BitDefender جاسوس افزاری به بهانه فروش VPN به مخاطبان دیده شده که به عنوان یک Trojan بواسطه نصب کننده ای قانونی با نام SecondEye اقدام به جاسوس از مردم ایران کرده است.
این ابزار یک ابزار نظارتی در سطح شبکه بوده که در ایران توسعه داده شده است! و بعد از نصب، جاسوس افزار اقدام به شنود مرورگر های قربانی بواسطه Keylogger، عمل میکند.
ویژگی دیگر اینکه جاسوس افزار پیلود ریزی خود را در آدرس WindowsApps انجام میدهد که در خصوص ماندگاری جاسوس افزار هوشمندانه تر عمل کرده باشد، چرا که این پوشه مختص برنامه های فروشگاه ویندوز میباشد.
جالبه که این جاسوس افزار بواسطه زبان Delphi کامپایل شده بواسطه Smart Install Maker به عنوان یک نصب کننده گرافیکی ساخته شده است.
موارد دیگر را میتوانید از این لینک مطالعه نماید، شایسته است پلیس فتای کشور نسبت به این جاسوسی از مردم، گزارش شفافی ارائه دهد.
@Unk9vvN
با برقراری سیاست های غلط و غیر حرفه ای که در خصوص فیلترینگ اینترنت در ایران انجام شد، موجبات سوء استفاده تیم های سایبری را به بهانه دور زدن فیلترینگ فراهم کرده است.
به گزارش BitDefender جاسوس افزاری به بهانه فروش VPN به مخاطبان دیده شده که به عنوان یک Trojan بواسطه نصب کننده ای قانونی با نام SecondEye اقدام به جاسوس از مردم ایران کرده است.
این ابزار یک ابزار نظارتی در سطح شبکه بوده که در ایران توسعه داده شده است! و بعد از نصب، جاسوس افزار اقدام به شنود مرورگر های قربانی بواسطه Keylogger، عمل میکند.
ویژگی دیگر اینکه جاسوس افزار پیلود ریزی خود را در آدرس WindowsApps انجام میدهد که در خصوص ماندگاری جاسوس افزار هوشمندانه تر عمل کرده باشد، چرا که این پوشه مختص برنامه های فروشگاه ویندوز میباشد.
جالبه که این جاسوس افزار بواسطه زبان Delphi کامپایل شده بواسطه Smart Install Maker به عنوان یک نصب کننده گرافیکی ساخته شده است.
موارد دیگر را میتوانید از این لینک مطالعه نماید، شایسته است پلیس فتای کشور نسبت به این جاسوسی از مردم، گزارش شفافی ارائه دهد.
@Unk9vvN
#Microsoft #Threat #Intelligence #Iranian #APTs
مایکروسافت گزارشی از تحرکات یکی دو سال اخیر سایبری ایران منتشر کرده و در اونجا تیم های فعال منتسب به دستگاه های امنیتی ایران رو مشخص کرده است.
نکته قابل توجه در این گزارش، رفتار های تاکتیکی تکنیکی این تیم ها بوده که عموما بر پایه یک سطح مشخصی تعریف شده، به عنوان مثال استفاده گستره از Exploit Public-Facing یا کد های بهره برداری عمومی شده که برای ایجاد دسترسی استفاده شده است.
آسیب پذیری هایی مانند Log4Shell ، CVE-2022-47966 ، CVE-2022-47986 و چند مورد دیگر که در خصوص نرم افزار های خاص عموم شده بود. اما اهداف چه بوده است؟ عموم اهداف Data theft یا سرقت اطلاعات بوده، در مرحله بعد Defacement یا تخریب ظاهر وب سرویس های قربانی بوده است.
این تیم ها عموما در مراحل تخصصی تیم قرمز، طراحی و توسعه انجام میدهند و مراحلی مانند ایجاد دسترسی را بواسطه یک فرصت عمومی ایجاد شده اعمال میکنند، از این روی بعد از منتشر شدن یک آسیب پذیری سطح حساس، میتوانیم منتظر حملات گستره این تیم ها باشیم.
@Unk9vvN
مایکروسافت گزارشی از تحرکات یکی دو سال اخیر سایبری ایران منتشر کرده و در اونجا تیم های فعال منتسب به دستگاه های امنیتی ایران رو مشخص کرده است.
نکته قابل توجه در این گزارش، رفتار های تاکتیکی تکنیکی این تیم ها بوده که عموما بر پایه یک سطح مشخصی تعریف شده، به عنوان مثال استفاده گستره از Exploit Public-Facing یا کد های بهره برداری عمومی شده که برای ایجاد دسترسی استفاده شده است.
آسیب پذیری هایی مانند Log4Shell ، CVE-2022-47966 ، CVE-2022-47986 و چند مورد دیگر که در خصوص نرم افزار های خاص عموم شده بود. اما اهداف چه بوده است؟ عموم اهداف Data theft یا سرقت اطلاعات بوده، در مرحله بعد Defacement یا تخریب ظاهر وب سرویس های قربانی بوده است.
این تیم ها عموما در مراحل تخصصی تیم قرمز، طراحی و توسعه انجام میدهند و مراحلی مانند ایجاد دسترسی را بواسطه یک فرصت عمومی ایجاد شده اعمال میکنند، از این روی بعد از منتشر شدن یک آسیب پذیری سطح حساس، میتوانیم منتظر حملات گستره این تیم ها باشیم.
@Unk9vvN
#SANS #Iranian #Threat #Actor
در جریان توییت آقای Bob Diachenko در خصوص افشای اطلاعات 46 میلیون حساب اینستاگرام، 1.2 میلیون حساب توییتر و 180 هزار حساب تلگرام ایرانی در دامنه ای با نام
خانوم Lina Lau ارائه ای رو در مجموعه SANS انجام میدهد که در آن اشاره میکند به گروه های فعال تهاجمی در ایران و در جریان افشاگری های مطرح شده در توییتر، مشخص شد یکی از تیم های سایبری منتصب به دستگاه اطلاعاتی ایرانی حریم خصوصی مردم را نقض و بر خلاف قوانین جمهوری اسلامی ایران، مبنی بر عدم جاسوسی از حریم خصوصی مردم، اقدام به شنود و ضبط اطلاعات حساب های شبکه های اجتماعی مردم کرده است.
اما در کنار این نقض قانون، در این مقاله مطرح میشود که حساب کاربری با نام
لازم دانستیم شفاف سازی کنیم که نام کاربری
@Unk9vvN
در جریان توییت آقای Bob Diachenko در خصوص افشای اطلاعات 46 میلیون حساب اینستاگرام، 1.2 میلیون حساب توییتر و 180 هزار حساب تلگرام ایرانی در دامنه ای با نام
secnerd.ir که بر روی آن پلتفرم Elasticsearch بصورت ناشیانه پیکربندی شده بود، لو رفته است.خانوم Lina Lau ارائه ای رو در مجموعه SANS انجام میدهد که در آن اشاره میکند به گروه های فعال تهاجمی در ایران و در جریان افشاگری های مطرح شده در توییتر، مشخص شد یکی از تیم های سایبری منتصب به دستگاه اطلاعاتی ایرانی حریم خصوصی مردم را نقض و بر خلاف قوانین جمهوری اسلامی ایران، مبنی بر عدم جاسوسی از حریم خصوصی مردم، اقدام به شنود و ضبط اطلاعات حساب های شبکه های اجتماعی مردم کرده است.
اما در کنار این نقض قانون، در این مقاله مطرح میشود که حساب کاربری با نام
Unkn19wn و ایمیل unk19wn@gmail.com در جریان یکی از عملیات های تهاجمی شرکتی با نام Najee و با مدیریت فردی با نام Mansour Ahmadi اقدام به فعالیت های سایبری کرده است.لازم دانستیم شفاف سازی کنیم که نام کاربری
Unkn19wn هیچ ربطی به این تیم تحقیقاتی ندارد.@Unk9vvN
#Iranian #Cybersecurity #Research #Government
از سال 98 به اینور یک مقاله در پژوهشگاه ارتباطات و فناوری اطلاعات ثبت نشده است و همان مقالاتی هم که ثبت شده، به ندرت میتوان موضوعی در خصوص اقیانوس علوم امنیت فضای سایبر پیدا کرد.
این در حالی است که معاون پژوهش و توسعه ارتباطات علمی پژوهشگاه ارتباطات و فناوری اطلاعات که هم اکنون در مسئولیت معاون امنیت فضای تولید و تبادل اطلاعات (#افتا) است، خبر از صرف بودجه 90 میلیارد تومانی در عرصه تحقیق و پژوهش داده بود.
کشور ایران در طول این سالها بارها مورد حملات سایبری مداوم پیشرفته قرار گرفته است و بسیاری از اطلاعات حساس کشور افشا شده است.
این در حالی است که مرکز پژوهشی مرتبط با حوزه امنیت فضای سایبر، وظیفه داشته است که ظرفیت های نیروی انسانی نیازمندی های افتا را محقق کرده و کمک به ارتقاء سطح علمی کشور در امر تولید دانش و فناوری های افتا کند.
در حال حاظر مشخص نیست حاصل این پژوهشگاه در حوزه علوم امنیت فضای سایبر چه بوده و بودجه های دریافتی کجا صرف شده است.
@Unk9vvN
از سال 98 به اینور یک مقاله در پژوهشگاه ارتباطات و فناوری اطلاعات ثبت نشده است و همان مقالاتی هم که ثبت شده، به ندرت میتوان موضوعی در خصوص اقیانوس علوم امنیت فضای سایبر پیدا کرد.
این در حالی است که معاون پژوهش و توسعه ارتباطات علمی پژوهشگاه ارتباطات و فناوری اطلاعات که هم اکنون در مسئولیت معاون امنیت فضای تولید و تبادل اطلاعات (#افتا) است، خبر از صرف بودجه 90 میلیارد تومانی در عرصه تحقیق و پژوهش داده بود.
کشور ایران در طول این سالها بارها مورد حملات سایبری مداوم پیشرفته قرار گرفته است و بسیاری از اطلاعات حساس کشور افشا شده است.
این در حالی است که مرکز پژوهشی مرتبط با حوزه امنیت فضای سایبر، وظیفه داشته است که ظرفیت های نیروی انسانی نیازمندی های افتا را محقق کرده و کمک به ارتقاء سطح علمی کشور در امر تولید دانش و فناوری های افتا کند.
در حال حاظر مشخص نیست حاصل این پژوهشگاه در حوزه علوم امنیت فضای سایبر چه بوده و بودجه های دریافتی کجا صرف شده است.
@Unk9vvN