Iranian News Agency

>

گروه APT34 که به نام‌های Lyceum یا Siamesekitten هم شناخته می‌شود، یک گروه جاسوسی سایبری است که معمولاً با ایران مرتبط بوده و حداقل از سال 2014 فعالیت دارد. این گروه به دولت‌های خاورمیانه هدفمند است، از جمله بخش‌های مختلفی مانند صنایع شیمیایی، انرژی، مالی و ارتباطات.

محققان ESET دو حمله از گروه OilRig APT (تهدید مداوم پیشرفته) مرتبط با ایران را مورد بررسی قرار دادند: "فضای بیرونی" در سال 2021 و "مخلوط شیرین" در سال 2022. هر دو حمله جاسوسی سایبری به ویژه بر سازمان‌های اسرائیلی هدفمند بودند. این تمرکز نشان می‌دهد که این گروه تمرکز خاصی بر منطقه خاورمیانه دارد و از همان روش‌ها استفاده می‌کند. OilRig در ابتدا امنیت یک وب‌سایت قانونی را نقض کرد تا از آن به عنوان سرور C&C استفاده کند و سپس در عین حال ابزارهای نفوذ امنیتی ر ا که به طور عمده برای استخراج داده از سیستم‌های مورد هدف استفاده می‌شود، پخش کرد. به ویژه از آنها برای جمع‌آوری اطلاعات هویتی از Windows Credential Manager و مرورگرهای اصلی، به همراه کوکی‌ها و تاریخچه مرور استفاده می‌شد.

در حمله "فضای بیرونی"، OilRig از یک backdoor جدید به نام Solar با زبان برنامه‌نویسی C#/.NET و یک downloader جدید به نام SampleCheck5000 (یا SC5k) استفاده کرد که از رابط‌های برنامه‌نویسی اف افیس مایکروسافت برای ارتباط و کنترل از راه دور استفاده می‌کرد. هنگامی که اکتورهای تهدید ابتدا امنیت یک وب‌سایت قانونی منابع انسانی را نقض کردند، از آن به عنوان سرور دستور و کنترل استفاده کردند و سپس backdoorهای نامنظور را ارائه دادند، همچنین ابزارهای نفوذ امنیتی را منتشر کردند که به طور عمده برای استخراج داده از سیستم‌های هدف استفاده می‌شد. به ویژه برای جمع‌آوری اطلاعات هویتی از Windows Credential Manager و مرورگرهای اصلی، به همراه کوکی‌ها و تاریخچه مرور استفاده می‌شد.

ESET برای backdoor از نام کد "Solar" استفاده کرد که بر اساس اصطلاحات ریاضی در نام‌های عملکرد و وظایف مبتنی است. نام دیگری برای backdoor جدید بر اساس مفهوم داخلی و نام پرونده استفاده شد و آن Mango نامیده شد. Backdoor به نام "Solar" دارای ویژگی‌های پایه است. علاوه بر دیگر ویژگی‌ها، می‌تواند برای دانلود و اجرای پرونده‌ها و همچنین برای استخراج خودکار پرونده‌های تقسیم‌بندی شده استفاده شود. قبل از فعال‌سازی Solar، OilRig از یک وب‌سایت قانونی شرکت منابع انسانی اسرائیلی به عنوان سرور دستور و کنترل استفاده کرد.