Check Point Research مجموعه جدیدی از بدافزارها تحت عنوان Veaty و Spearal را کشف کرد که در حملات علیه نهادهای مختلف عراقی از جمله شبکههای دولتی استفاده میشد.
شرکت امنیت سایبری checkpoint در تحلیلی جدید گفت: OilRig که APT34، Crambus، Cobalt Gypsy، GreenBug، Hazel Sandstorm (EUROPIUM سابق) و Helix Kitten نیز نامیده میشود، یک گروه سایبری ایرانی است که حداقل از سال 2014 فعال است و سابقه انجام حملات فیشینگ در خاورمیانه جهت ارائه انواع دربهای پشتی سفارشی مانند Karkoff، Shark، Marlin، Saitama، MrPerfectionManager، PowerExchange، Solar، Mango و Menorah را برای سرقت اطلاعات دارد.
کمپین اخیز نیز شامل استفاده از مجموعه جدیدی از بدافزارها میشود که دارای قابلیتهایی برای اجرای دستورات PowerShell و جمعآوری فایلهای دلخواه هستند. مجموعه ابزار مورد استفاده در این کمپین هدفمند از مکانیزمها و تکنیکهای منحصر به فرد فرمان و کنترل (C2) از جمله درب پشتی غیرفعال IIS، پروتکل تونلسازی DNS سفارشی و کانال C2 مبتنی بر ایمیل سفارشی استفاده میکند.
به نظر میرسد که درب پشتی غیرفعال IIS نوع جدیدتری از درب پشتی گزارش شده توسط ESET است که توسط IIS Group 2 استفاده شده است (همچنین توسط Symantec به GreenBug با نام APT34 نسبت داده شده است). این بدافزار پیوندهای متعددی با خانوادههای بدافزار APT34 مانند Karkoff، Saitama و IIS Group 2 دارد که در همان منطقه فعالیت میکنند. این خانواده بدافزارها به tun (MOIS) وابسته هستند.
https://research.checkpoint.com/2024/iranian-malware-attacks-iraqi-government/
