#APT38 #DYEPACK #FireEye
حمله مدام پیشرفته APT38 منتصب است به تیم دولتی از کشور کره شمالی، که هدفش بانک ها و زیرساخت های تجاری و موسسه های مالی است.
بدافزار طراحی شده این تیم با نام DYEPACK توسعه داده شده که متمرکز بر هدف قرار دادن سیستم های SWIFT است. بعد از جمع آوری اطلاعات در سطح سه، تیم اقدام به بهره برداری از یک آسیب پذیری در خصوص Apache Struts2 کرده که منجر به ایجاد دسترسی اولیه شده است.
این آسیب پذیری با شناسه CVE-2019-0230 ثبت شده که از نوع Double OGNL Evaluation بوده، که ورودی خام رو مبتنی بر
اما مرحله جالب توجه، بحث جمع آوری اطلاعات داخلی بواسطه Backdoor نصب شده که به مدت دو سال به طول انجامیده و با استفاده از Sysmon تمام تراکنش های سیستم SWIFT بانک رو نظارت میکرده است.
تیم بواسطه DYEPACK به Transaction های سیستم SWIFT دسترسی پیدا کرده و با Collection بدافزاری خود، بواسطه ارسال درخواست های SQL به پایگاه داده، اقدام به دستکاری Record های SWIFT کرده است که حاصل آن 1.1 بیلیون دلار بوده.
@Unk9vvN
حمله مدام پیشرفته APT38 منتصب است به تیم دولتی از کشور کره شمالی، که هدفش بانک ها و زیرساخت های تجاری و موسسه های مالی است.
بدافزار طراحی شده این تیم با نام DYEPACK توسعه داده شده که متمرکز بر هدف قرار دادن سیستم های SWIFT است. بعد از جمع آوری اطلاعات در سطح سه، تیم اقدام به بهره برداری از یک آسیب پذیری در خصوص Apache Struts2 کرده که منجر به ایجاد دسترسی اولیه شده است.
این آسیب پذیری با شناسه CVE-2019-0230 ثبت شده که از نوع Double OGNL Evaluation بوده، که ورودی خام رو مبتنی بر
tag attributes دریافت کرده و مهاجم امکان ارسال کد مخرب مبتنی بر ساختار OGNL رو پیدا میکند.اما مرحله جالب توجه، بحث جمع آوری اطلاعات داخلی بواسطه Backdoor نصب شده که به مدت دو سال به طول انجامیده و با استفاده از Sysmon تمام تراکنش های سیستم SWIFT بانک رو نظارت میکرده است.
تیم بواسطه DYEPACK به Transaction های سیستم SWIFT دسترسی پیدا کرده و با Collection بدافزاری خود، بواسطه ارسال درخواست های SQL به پایگاه داده، اقدام به دستکاری Record های SWIFT کرده است که حاصل آن 1.1 بیلیون دلار بوده.
@Unk9vvN
#Donut #ETW Bypass #Module_Overloading
ابزار Donut یک ابزار در راستای اجرای فایل های VBScript، JScript، EXE، DLL و dotNET Assembly در حافظه رو امکان پذیر میکنه بی آنکه Stage بر روی حافظه سخت قرار داشته باشه. همچنین امکان فراخوانی یک Stage از یک وبسرور بواسطه درخواست HTTP انجام شده و در Loader جاسازی شود.
اما موضوعی که جذابه اینه که یکی از ویژگی های این ابزار اینه که بواسطه تکنیک Module Overloading که امکان اینرو میده که در یک فایل اجرایی Native PE بشود یک Manual Mapping انجام داد که بواسطه اون میشود فایل Map شده در حافظه رو Overwrite کرد.
گفته شده این تکنیک موجب میشه مکانیزم تشخیص مبتنی بر Process Injection دور زد، چرا که کد اجرایی مهاجم در حافظه در فایل روی دیسک Map نشده است.
این ماژول که با نام Decoy طراحی و بواسطه توابع NtCreateSection و NtMapViewOfSection کار میکنه، یک Legitimate Executable در زمان Map شدن در حافظه ایجاد میکنه، برای Overwrite کردن شلکد مد نظر در Section فایل فرمت PE.
@Unk9vvN
ابزار Donut یک ابزار در راستای اجرای فایل های VBScript، JScript، EXE، DLL و dotNET Assembly در حافظه رو امکان پذیر میکنه بی آنکه Stage بر روی حافظه سخت قرار داشته باشه. همچنین امکان فراخوانی یک Stage از یک وبسرور بواسطه درخواست HTTP انجام شده و در Loader جاسازی شود.
اما موضوعی که جذابه اینه که یکی از ویژگی های این ابزار اینه که بواسطه تکنیک Module Overloading که امکان اینرو میده که در یک فایل اجرایی Native PE بشود یک Manual Mapping انجام داد که بواسطه اون میشود فایل Map شده در حافظه رو Overwrite کرد.
گفته شده این تکنیک موجب میشه مکانیزم تشخیص مبتنی بر Process Injection دور زد، چرا که کد اجرایی مهاجم در حافظه در فایل روی دیسک Map نشده است.
این ماژول که با نام Decoy طراحی و بواسطه توابع NtCreateSection و NtMapViewOfSection کار میکنه، یک Legitimate Executable در زمان Map شدن در حافظه ایجاد میکنه، برای Overwrite کردن شلکد مد نظر در Section فایل فرمت PE.
@Unk9vvN
#KernelCallbackTable #Injection
تکنیک دزدیدن اجرا از KernelCallbackTable در فرایند فراخوانی توابع سیستمی بازگشتی، یک تکنیک مورد استفاده تیم Lazarus بود تا بواسطه این تکنیک Payload ایجاد شده خود را اجرا نماید و موجب نا محسوس شدن و ارتقاء سطح دسترسی شود.
اما این فرایند چگونه کار میکند؟ برای فهم مختصر این تکنیک اول میبایست این موضوع رو درک کرد که KernelCallbackTable چیست؟
زمانی که یک برنامه برای مثال از توابع GUI که Callback هستند رو از کتابخانه
مهاجم زمانی که Process قربانی، به تابع سیستمی Callback اشاره میکند، یک جا به جایی انجام داده و بجای تابع اصلی تابع خود را که اشاره به Payload مخرب دارد، قرار میدهد. برای اینکار اول میبایست مکان یابی PEB را بواسطه NtQueryInformationProcess انجام داد و به ستون های KernelCallbackTable بواسطه WriteProcessMemory ، آدرس Payload مخرب را قرار داد.
@Unk9vvN
تکنیک دزدیدن اجرا از KernelCallbackTable در فرایند فراخوانی توابع سیستمی بازگشتی، یک تکنیک مورد استفاده تیم Lazarus بود تا بواسطه این تکنیک Payload ایجاد شده خود را اجرا نماید و موجب نا محسوس شدن و ارتقاء سطح دسترسی شود.
اما این فرایند چگونه کار میکند؟ برای فهم مختصر این تکنیک اول میبایست این موضوع رو درک کرد که KernelCallbackTable چیست؟
زمانی که یک برنامه برای مثال از توابع GUI که Callback هستند رو از کتابخانه
user32.dll فراخوانی میکند، Process بهره برداری کننده در ساختمان Process Environment Block مقادیر KernelCallbackTable رو آماده سازی میکند.مهاجم زمانی که Process قربانی، به تابع سیستمی Callback اشاره میکند، یک جا به جایی انجام داده و بجای تابع اصلی تابع خود را که اشاره به Payload مخرب دارد، قرار میدهد. برای اینکار اول میبایست مکان یابی PEB را بواسطه NtQueryInformationProcess انجام داد و به ستون های KernelCallbackTable بواسطه WriteProcessMemory ، آدرس Payload مخرب را قرار داد.
@Unk9vvN
#MITRE_Engenuity #Attack_Flow
ابزاری وجود داره با نام Attack Flow که محصول ارگان تحقیقاتی MITRE Engenuity است که در موضوعات امنیت دفاعی فعال است.
این ابزار میتواند به شما یک فضای شبیه سازی و ترسیم جریان اجرایی یک حمله APT را دهد تا مبتنی بر تکنیک و تاکتیک های مستند شده در MITRE ATT&CK ، شمای کلی حمله رو ترسیم نماید.
این ترسیم میتواند مبتنی بر فرمت های afb - dot - json و mmd خروجی دهد، طراحی این گراف میتواند بر پایه مدل STIX هم باشد تا #TTP حمله قابلیت استفاده در #CTI یا اشتراک گذاری اطلاعات تهدیدات سایبری باشد، همچنین استفاده در مکانیزم های رفتار شناسی را نیز دارا باشد.
این ویژگی مهم، میتواند به متخصصین شکار تهدید و کارشناسان #SOC امکان خوبی برای کشف و آشکار سازی جریان اجرایی حملات #APT را بدهد. برای نمونه میتوانید موارد زیر را مشاهده نماید:
Iranian APT exploited Log4Shell and deployed XMRig crypto mining software
A financial crime involving the SWIFT banking network
A breach at Uber by the Lapsus$ group
A Russian state-sponsored malware campaign targeting Ukraine
@Unk9vvN
ابزاری وجود داره با نام Attack Flow که محصول ارگان تحقیقاتی MITRE Engenuity است که در موضوعات امنیت دفاعی فعال است.
این ابزار میتواند به شما یک فضای شبیه سازی و ترسیم جریان اجرایی یک حمله APT را دهد تا مبتنی بر تکنیک و تاکتیک های مستند شده در MITRE ATT&CK ، شمای کلی حمله رو ترسیم نماید.
این ترسیم میتواند مبتنی بر فرمت های afb - dot - json و mmd خروجی دهد، طراحی این گراف میتواند بر پایه مدل STIX هم باشد تا #TTP حمله قابلیت استفاده در #CTI یا اشتراک گذاری اطلاعات تهدیدات سایبری باشد، همچنین استفاده در مکانیزم های رفتار شناسی را نیز دارا باشد.
این ویژگی مهم، میتواند به متخصصین شکار تهدید و کارشناسان #SOC امکان خوبی برای کشف و آشکار سازی جریان اجرایی حملات #APT را بدهد. برای نمونه میتوانید موارد زیر را مشاهده نماید:
Iranian APT exploited Log4Shell and deployed XMRig crypto mining software
A financial crime involving the SWIFT banking network
A breach at Uber by the Lapsus$ group
A Russian state-sponsored malware campaign targeting Ukraine
@Unk9vvN
#SANS #Course #Copyright
محققی به نام Jason Haddix توییتی زده است مبنی بر اینکه، یک فردی اقدام به برگزاری یکی از دوره های موسسه SANS کرده است بی آنکه مجوزی از این مجموعه داشته باشد. به بهانه این توییت یک نمونه از آسیب های ریشه ای صنعت امنیت سایبری در کشور را باز میکنیم...
برگزاری دوره آموزشی در دنیا، یک ملزومات فنی ای نیاز دارد تا بتواند رسالت و ماموریت خود را به سرانجام برساند، برای مثال یک دوره آموزشی در حوزه امنیت سایبری تهاجمی، میبایست دارای مکتوباتی (کتابچه - دستورالمعل) باشد تا تمامی نکات یک موضوع را به دانشجو انتقال دهد، چرا که اساسا انتقال دانش زمان حاصل میشود که تمامی جنبه های آن علوم و نکات متعددش مطرح شده باشد، در غیر این صورت آن دوره آموزشی رسالت خود را به سرانجام نرسانده است.
با توجه به نکات بالا، حال میتوان درک کرد که دلیل اصلی عدم وجود تیم های استارت آپ گسترده و با کیفیت، نسبت به جمعیت کشوری مانند ایران، چرا بسیار کم بوده و نیروی انسانی خود ساخته هم علاقه ای به فعالیت دانش بنیان ندارد و ترجیح به مهاجرت دارد.
@Unk9vvN
محققی به نام Jason Haddix توییتی زده است مبنی بر اینکه، یک فردی اقدام به برگزاری یکی از دوره های موسسه SANS کرده است بی آنکه مجوزی از این مجموعه داشته باشد. به بهانه این توییت یک نمونه از آسیب های ریشه ای صنعت امنیت سایبری در کشور را باز میکنیم...
برگزاری دوره آموزشی در دنیا، یک ملزومات فنی ای نیاز دارد تا بتواند رسالت و ماموریت خود را به سرانجام برساند، برای مثال یک دوره آموزشی در حوزه امنیت سایبری تهاجمی، میبایست دارای مکتوباتی (کتابچه - دستورالمعل) باشد تا تمامی نکات یک موضوع را به دانشجو انتقال دهد، چرا که اساسا انتقال دانش زمان حاصل میشود که تمامی جنبه های آن علوم و نکات متعددش مطرح شده باشد، در غیر این صورت آن دوره آموزشی رسالت خود را به سرانجام نرسانده است.
با توجه به نکات بالا، حال میتوان درک کرد که دلیل اصلی عدم وجود تیم های استارت آپ گسترده و با کیفیت، نسبت به جمعیت کشوری مانند ایران، چرا بسیار کم بوده و نیروی انسانی خود ساخته هم علاقه ای به فعالیت دانش بنیان ندارد و ترجیح به مهاجرت دارد.
@Unk9vvN
#GFW #GoodbyeDPI #PowerTunnel
دیواره آتش چین مبتنی بر چه تکنولوژی ای کار میکند؟ پاسخ مشخص است، مبتنی بر سیستم های DPI یا بررسی پکت بصورت عمیق.
بررسی پکت بصورت عمیق به چه معنی است؟ به این معنی است که الگوهای تشخیص پروتکل ارتباطی نیازی ندارند تا درون بخش Payload رمزنگاری شده را بازگشایی کرده و ببینند تا بتوانند متوجه شوند آن پروتکل چیست.
بلکه برعکس، بواسطه بررسی ساختار کلی پکت این سامانه متوجه میشود که ماهیت پکت برای چه پروتکلی بوده و حتی امضاهایی بصورت شخصی سازی شده در خصوص ایجاد نشست هایی خاص را نیز، درون آن تشخیص دهد.
برای مثال نشست WebSocket مبتنی بر HTTP... اما با دانستن این موضوع چه نتیجه ای میتوان گرفت؟ یک نتیجه مشخص! یکی از مکانیزم های عملکردی سامانه فیلترینگ میتواند بواسطه مخفی سازی پروتکل تانل درون بخش Payload یک پروتکل Legitimate مانند HTTPS دور زده شود و نشست های آن بواسطه تزریق RST مختل نشود.
برای استفاده از این تکنیک نیاز به پیاده سازی یک PKI معتبر است تا ترافیک بواسطه تکنیک های MiTM قابلیت Intercept شدن نداشته باشد و صرفا با Certificate خود احراز رمزنگاری را انجام دهد.
Clue
@Unk9vvN
دیواره آتش چین مبتنی بر چه تکنولوژی ای کار میکند؟ پاسخ مشخص است، مبتنی بر سیستم های DPI یا بررسی پکت بصورت عمیق.
بررسی پکت بصورت عمیق به چه معنی است؟ به این معنی است که الگوهای تشخیص پروتکل ارتباطی نیازی ندارند تا درون بخش Payload رمزنگاری شده را بازگشایی کرده و ببینند تا بتوانند متوجه شوند آن پروتکل چیست.
بلکه برعکس، بواسطه بررسی ساختار کلی پکت این سامانه متوجه میشود که ماهیت پکت برای چه پروتکلی بوده و حتی امضاهایی بصورت شخصی سازی شده در خصوص ایجاد نشست هایی خاص را نیز، درون آن تشخیص دهد.
برای مثال نشست WebSocket مبتنی بر HTTP... اما با دانستن این موضوع چه نتیجه ای میتوان گرفت؟ یک نتیجه مشخص! یکی از مکانیزم های عملکردی سامانه فیلترینگ میتواند بواسطه مخفی سازی پروتکل تانل درون بخش Payload یک پروتکل Legitimate مانند HTTPS دور زده شود و نشست های آن بواسطه تزریق RST مختل نشود.
برای استفاده از این تکنیک نیاز به پیاده سازی یک PKI معتبر است تا ترافیک بواسطه تکنیک های MiTM قابلیت Intercept شدن نداشته باشد و صرفا با Certificate خود احراز رمزنگاری را انجام دهد.
Clue
@Unk9vvN
This media is not supported in your browser
VIEW IN TELEGRAM
#IRGC #General #Qasem_Soleimani
ارائه ای در کنفرانس CyberWarCon 2022 مطرح شده که میپردازد به روش های مهندسی اجتماعی دستگاه های امنیتی ایرانی در خصوص کشف جاسوسان احتمالی در سیستم نظامی ایران، بواسطه پیشنهادات همکاری از طرف موساد.
اینکه این ادعاها در این ارائه قطعا صحیح است یا خیر را نمیتوان با قطعیت گفت، اما شواهد فنی مطرحه در ارائه این ذهنیت را تقویت می نماید که ادعای مطرحه میتواند صحیح باشد.
اما از عنوان اصلی ارائه که بگذریم، ارائه دهنده در پیرامون صحبت های خود به یک سوال مشخص پاسخ میدهد، آن سوال این است سردار سلیمانی بواسطه چه نقص امنیتی ترور شد؟
این فرد ارائه دهنده اشاره میکند که آمریکا موفق شده است فرمانده نظامی ایرانی را ردیابی کند، آیا منظور از ردیابی، کشف موقعیت های مکانی بواسطه نفوذ به شبکه سلولی مخابراتی است؟ یا هک مستقیم تلفن همراه یا دستگاه سخت افزاری ردیابی فیزیکی؟ مشخص نیست...
https://www.youtube.com/watch?v=kE1l4ZyNkz0
@Unk9vvN
ارائه ای در کنفرانس CyberWarCon 2022 مطرح شده که میپردازد به روش های مهندسی اجتماعی دستگاه های امنیتی ایرانی در خصوص کشف جاسوسان احتمالی در سیستم نظامی ایران، بواسطه پیشنهادات همکاری از طرف موساد.
اینکه این ادعاها در این ارائه قطعا صحیح است یا خیر را نمیتوان با قطعیت گفت، اما شواهد فنی مطرحه در ارائه این ذهنیت را تقویت می نماید که ادعای مطرحه میتواند صحیح باشد.
اما از عنوان اصلی ارائه که بگذریم، ارائه دهنده در پیرامون صحبت های خود به یک سوال مشخص پاسخ میدهد، آن سوال این است سردار سلیمانی بواسطه چه نقص امنیتی ترور شد؟
این فرد ارائه دهنده اشاره میکند که آمریکا موفق شده است فرمانده نظامی ایرانی را ردیابی کند، آیا منظور از ردیابی، کشف موقعیت های مکانی بواسطه نفوذ به شبکه سلولی مخابراتی است؟ یا هک مستقیم تلفن همراه یا دستگاه سخت افزاری ردیابی فیزیکی؟ مشخص نیست...
https://www.youtube.com/watch?v=kE1l4ZyNkz0
@Unk9vvN
#CTI #STIX #TAXII #MAEC
هوش تهدید ساختار یافته یا Structured Threat Information Expression یک استاندارد است در خصوص اشتراک گذاری هوش یک تهدید و حمله APT بر پایه شاخه ها (#IoC) و رفتار تاکتیکی و تکنیکی حمله (#TTP).
اما در کنار ساختار STIX یک مکانیزم Transport هم وجود دارد با نام Trusted Automated Exchange of Intelligence Information است که به معنی تبادل اطلاعات قابل اعتماد بصورت اتوماتیک است که برای استانداردسازی فرایند های اشتراک گذاری بواسطه یک مکانیزم مشخص تا کلیه ابزارها و محصولات مرتبط با مقوله #CTI با هم ارتباط گیرند.
مورد بعدی Malware Attribute Enumeration and Characterization است به معنی سرشماری خصوصیات و ویژگی های بدافزار که برای توسعه زیرساخت های #CTI در راستای پالایش منابع بدافزارها طراحی شده است.
اما مورد آخر Cyber Observable eXpression است به معنی ساختارمند کردن داده های قابل مشاهده در فضای سایبر، که در راستای استفاده در پایگاه داده های #CTI نقش آفرینی میکند.
https://oasis-open.github.io/cti-documentation/
@Unk9vvN
هوش تهدید ساختار یافته یا Structured Threat Information Expression یک استاندارد است در خصوص اشتراک گذاری هوش یک تهدید و حمله APT بر پایه شاخه ها (#IoC) و رفتار تاکتیکی و تکنیکی حمله (#TTP).
اما در کنار ساختار STIX یک مکانیزم Transport هم وجود دارد با نام Trusted Automated Exchange of Intelligence Information است که به معنی تبادل اطلاعات قابل اعتماد بصورت اتوماتیک است که برای استانداردسازی فرایند های اشتراک گذاری بواسطه یک مکانیزم مشخص تا کلیه ابزارها و محصولات مرتبط با مقوله #CTI با هم ارتباط گیرند.
مورد بعدی Malware Attribute Enumeration and Characterization است به معنی سرشماری خصوصیات و ویژگی های بدافزار که برای توسعه زیرساخت های #CTI در راستای پالایش منابع بدافزارها طراحی شده است.
اما مورد آخر Cyber Observable eXpression است به معنی ساختارمند کردن داده های قابل مشاهده در فضای سایبر، که در راستای استفاده در پایگاه داده های #CTI نقش آفرینی میکند.
https://oasis-open.github.io/cti-documentation/
@Unk9vvN
#Cyber #Police #Spyware #BouldSpy
به گزارش آزمایشگاه تحلیل بدافزار های موبایلی شرکت Lookout، یک جاسوس افزار با نام BouldSpy در ایران منتشر شده است که گفته میشود از سوی پلیس سایبری ایران طراحی شده و مرکز کنترل و فرمان این جاسوس افزار، مراکز فرماندهی پلیس استانها بوده است.
همچنین ذکر شده است که این جاسوس افزار در قالب نرم افزار هایی مانند Psiphon ، Fake Call ، Currency Converter Pro و Call Service و CPU-Z و برخی دیگر، قرار گرفته و منتشر شده است.
در این گزارش مطرح شده است که متهمانی که دستگیر می شده اند، بر روی گوشی آنها این جاسوس افزار نصب می شده و اقدام به جاسوسی میکرده است، اطلاعات مورد جاسوسی، موقعیت مکانی، تاریخچه تماس ها، لیست مخاطبین، ضبط کلید های کیبورد، تاریخچه مرورگر ها، ضبط صدا از میکروفون، تهیه اسکرین شات و ضبط مکالمات VoIP از گوشی های اندرویدی بوده است.
در بررسی تکنیکال این جاسوس افزار مشخص شده است که یک تابع با نام
@Unk9vvN
به گزارش آزمایشگاه تحلیل بدافزار های موبایلی شرکت Lookout، یک جاسوس افزار با نام BouldSpy در ایران منتشر شده است که گفته میشود از سوی پلیس سایبری ایران طراحی شده و مرکز کنترل و فرمان این جاسوس افزار، مراکز فرماندهی پلیس استانها بوده است.
همچنین ذکر شده است که این جاسوس افزار در قالب نرم افزار هایی مانند Psiphon ، Fake Call ، Currency Converter Pro و Call Service و CPU-Z و برخی دیگر، قرار گرفته و منتشر شده است.
در این گزارش مطرح شده است که متهمانی که دستگیر می شده اند، بر روی گوشی آنها این جاسوس افزار نصب می شده و اقدام به جاسوسی میکرده است، اطلاعات مورد جاسوسی، موقعیت مکانی، تاریخچه تماس ها، لیست مخاطبین، ضبط کلید های کیبورد، تاریخچه مرورگر ها، ضبط صدا از میکروفون، تهیه اسکرین شات و ضبط مکالمات VoIP از گوشی های اندرویدی بوده است.
در بررسی تکنیکال این جاسوس افزار مشخص شده است که یک تابع با نام
onDestroy تعریف شده است که در صورت راه اندازی مجدد، فراخوانی شده و یک Broadcast را اجرا و سرویس خود را آغاز می نماید.@Unk9vvN
#Microsoft #Threat #Intelligence #Iranian #APTs
مایکروسافت گزارشی از تحرکات یکی دو سال اخیر سایبری ایران منتشر کرده و در اونجا تیم های فعال منتسب به دستگاه های امنیتی ایران رو مشخص کرده است.
نکته قابل توجه در این گزارش، رفتار های تاکتیکی تکنیکی این تیم ها بوده که عموما بر پایه یک سطح مشخصی تعریف شده، به عنوان مثال استفاده گستره از Exploit Public-Facing یا کد های بهره برداری عمومی شده که برای ایجاد دسترسی استفاده شده است.
آسیب پذیری هایی مانند Log4Shell ، CVE-2022-47966 ، CVE-2022-47986 و چند مورد دیگر که در خصوص نرم افزار های خاص عموم شده بود. اما اهداف چه بوده است؟ عموم اهداف Data theft یا سرقت اطلاعات بوده، در مرحله بعد Defacement یا تخریب ظاهر وب سرویس های قربانی بوده است.
این تیم ها عموما در مراحل تخصصی تیم قرمز، طراحی و توسعه انجام میدهند و مراحلی مانند ایجاد دسترسی را بواسطه یک فرصت عمومی ایجاد شده اعمال میکنند، از این روی بعد از منتشر شدن یک آسیب پذیری سطح حساس، میتوانیم منتظر حملات گستره این تیم ها باشیم.
@Unk9vvN
مایکروسافت گزارشی از تحرکات یکی دو سال اخیر سایبری ایران منتشر کرده و در اونجا تیم های فعال منتسب به دستگاه های امنیتی ایران رو مشخص کرده است.
نکته قابل توجه در این گزارش، رفتار های تاکتیکی تکنیکی این تیم ها بوده که عموما بر پایه یک سطح مشخصی تعریف شده، به عنوان مثال استفاده گستره از Exploit Public-Facing یا کد های بهره برداری عمومی شده که برای ایجاد دسترسی استفاده شده است.
آسیب پذیری هایی مانند Log4Shell ، CVE-2022-47966 ، CVE-2022-47986 و چند مورد دیگر که در خصوص نرم افزار های خاص عموم شده بود. اما اهداف چه بوده است؟ عموم اهداف Data theft یا سرقت اطلاعات بوده، در مرحله بعد Defacement یا تخریب ظاهر وب سرویس های قربانی بوده است.
این تیم ها عموما در مراحل تخصصی تیم قرمز، طراحی و توسعه انجام میدهند و مراحلی مانند ایجاد دسترسی را بواسطه یک فرصت عمومی ایجاد شده اعمال میکنند، از این روی بعد از منتشر شدن یک آسیب پذیری سطح حساس، میتوانیم منتظر حملات گستره این تیم ها باشیم.
@Unk9vvN