イランのハッカーグループとその戦術: 彼らが私たちのコンピュータに侵入する方法

にマーティン・ベルトフ | Last Update: 1月 8, 2020 | 0 コメントコメント

イランのソレイマニ将軍の最近の暗殺について, 多くのセキュリティ専門家やユーザーは、将来のイランまたはイラン関連のハッキンググループに注意を向けています。. この国には経験豊富なコンピューターの専門家がたくさんいることで知られています, 悪意のあるハッカーを含む. この記事では、最も広く使用されている方法の概要と、結果として期待できることについて説明します。.

国から発信されたと考えられている複数のハッキンググループがあります—それらのいくつかは国が後援している可能性があります, 他の人はイランによって採用され、イランの企業や個人に利益をもたらす可能性のある議題にリンクされる可能性があります.

最もよく知られている例の1つは、 オイルリグ 開発で有名です BondUpdaterトロイの木馬. このグループは、複数のエイリアスを持ち、注目度の高いターゲットに対して大規模な攻撃を実行することで有名です。. この国が後援するグループは、国の諜報機関にリンクされていると考えられています. 観察された攻撃は、 “上位事務所” 中東の国にあります. 彼らが使用した主な配布戦術は、 マクロ感染文書.

関連している: [wplinkpreview url =”https://Sensorstechforum.com/remove-bondupdater-trojan-restore-computer-infections/”]BondUpdaterトロイの木馬を削除します—感染からコンピュータを復元します

OilRigハッキンググループととして知られている別の集団 “ラナ研究所” 漏洩したデータをハッカー市場や特別情報リポジトリにオンラインで投稿したことが知られています. 彼らのキャンペーンの成功は、フィッシングキャンペーンの実行と被害者が運営するWebサーバーの脆弱性の悪用という2つの手段で侵入を試みたという事実に大きく依存しています。.

イランのハッカーの興味深い点は、可能な限り高い成功率を提供するために研究されたさまざまな手法を使用していることです。. 良い例は OilRigグループ これは、専門家のネットワークと関連ファイルになりすます特別に設計されたハッカー制御のサイトを作成しました. 次に、ケンブリッジ大学の講師になりすまして、ターゲットユーザーをハッカーが制御するネットワークに招待することでソーシャルエンジニアリングを使用します。. リンクを開いてコンテンツを操作すると、スクリプトによってウイルス配信がアクティブになります.

イランのハッカーグループは精巧な戦術を使用しています

イランのハッカーは、さまざまな種類のハッカーを生み出すことが知られています 悪意のあるドキュメント これは、すべての一般的なMicrosoftOfficeファイル形式にすることができます. 開くとすぐに、組み込みマクロを実行するように求める通知プロンプトがユーザーに表示されます。. これが行われると、関連するトロイの木馬コードが実行されます. 典型的な動作が予想されます—サーバーをスケジュールされたタスクとして設定します, 機密情報を取得し、ハッカーが感染したマシンの制御を引き継ぐことを可能にする接続を設定する.

被害者が所有するWebサーバーは、主にエクスプロイトの標的となり、自動化されたツールキットでブルートフォース攻撃を受けます. 犯罪者はまた全体を買うかもしれません “パック” ハッカーの地下市場から盗まれたアカウントの資格情報. これらのクレデンシャルはツールにロードすることもでき、それらを使用してログインを試みることができます.

関連している: [wplinkpreview url =”https://Sensorstechforum.com/apt33-is-using-own-vpn-network/”]APT33は独自のVPNネットワークを使用して、追跡をより困難にしています

ハッカーは、OutlookおよびExchangeサービスを実行しているサーバーを標的にしていることも判明しています。. 電子メールやグループウェアの通信に使用されます. これは、ページを開くブラウザにマルウェアコードを配置するバックドアを配置することによって行われます。. 関連する悪意のあるコードを実行すると、一般的な結果につながります:

データの盗難 —トロイの木馬とバックドアコードは、アカウントの資格情報やそれらに関する個人情報を明らかにする可能性のある情報を収集するようにプログラムされています. これは、さらなるソーシャルエンジニアリングキャンペーンまたは恐喝目的に使用できます.
Windowsレジストリの変更 —キャプチャされたサンプルの一部には、Windowsレジストリの既存のフィールドを編集する機能があることが判明しています。. これにより、システムの問題が発生し、マシンが実質的に使用できなくなる可能性があります。. それらにアクセスするユーザーは、予期しないエラーやデータの損失を見つける可能性もあります.
データ送信 —ハイジャックされたすべてのファイルは、確立された接続を介してハッカーに自動的にアップロードされます. これにより、ハッカーがマシンの制御を追い抜くこともできます. 彼らは犠牲者をスパイすることができるでしょう, フィールドを操作し、他の脅威もインストールします.

他のイランの攻撃が来ると予想されます. 注目度の高いターゲットに対してカスタムキャンペーンを計画できる経験豊富なグループが複数存在するため. 彼らはさまざまなテクノロジーを使用し、戦略を絶えず改善することができます.