جاسوسی ایرانی ها به عنوان روزنامه نگار جعلی برای نصب بدافزار روی سیستم قربانیان

یک گروه جاسوسی سایبری ایرانی با هدف قرار دادن بخشهای دولت، فناوری دفاعی، ارتش و دیپلماسی، در حال جعل روزنامه نگاران است تا از طریق LinkedIn و WhatsApp به اهداف نزدیک شوند و دستگاههای آنها را با بدافزار آلوده کنند.

شركت اسرائیلی Clearsky با بیان جزئیات تاكتیك های جدید گروه APT Charming Kitten، گفت: از ژوئیه سال ۲۰۲۰، ما TTP جدیدی از این گروه را شناسایی كردیم كه Deutsche Welle وJewish Journal را با استفاده از ایمیل در كنار پیام های WhatsApp جعل می كرد. که بستر اصلی آنها برای نزدیک کردن به هدف و متقاعد کردن آنها برای باز کردن یک لینک مخرب است.

Clearsky در تجزیه و تحلیل روز پنجشنبه اظهار داشت اولین بار است که گفته می شود عامل تهدید از طریق WhatsApp و LinkedIn حمله watering hole را انجام داده است، که شامل تماس تلفنی با قربانیان نیز می شود. پس از اینکه این شرکت در مورد جعل هویت در وب سایت خود به Deutsche Welle هشدار داد، پخش کننده آلمانی تأیید کرد،گزارشی که Charming Kitten آن را جعل کرده است طی چند هفته گذشته هیچ نامه ای برای قربانی و هیچ محقق دانشگاهی دیگری در اسرائیل ارسال نکرده است.

Charming Kitten (با نام های مستعار APT35 ، Parastoo، NewsBeef  و Newscaster نیز شناخته می شود) از دسامبر ۲۰۱۷ با هدف سرقت اطلاعات حساس فعالان حقوق بشر، محققان دانشگاهی و رسانه ها به یک سری از کمپین های مخفی مرتبط بوده است.

watering hole با استفاده از یک لینک مخرب تعبیه شده در دامنه Deutsche Welle – بدافزار info-stealer را از طریق WhatsApp تحویل می داد، اما نه قبل از این که قربانیان برای اولین بار از طریق روش های مهندسی اجتماعی آزمایش شده و قصد فریب آنها را داشته باشند.

پیشنهاد می کنم حتما خبر فریب کاربران از طریق گوگل درایو را مطالعه کنید.

Clearsky توضیح داد: نامه نگاری با ارسال نامه ای به طرف هدف، گفتگو را آغاز میکند و پس از گفتگوی كوتاه با هدف، مهاجم Charming Kitten درخواست انتقال گفتگو به واتس اپ را دارد. اگر هدف از انتقال به WhatsApp خودداری کند ، مهاجم از طریق یک پروفایل جعلی LinkedIn پیامی ارسال می کند.

در یک سناریو، مهاجم برای جلب اعتماد هدف با تماس با یک قربانی اعتماد هدف را جلب کرده و سپس شخص را از طریق مراحل اتصال به وبینار با استفاده از لینک مخربی که قبلاً در چت به اشتراک گذاشته شده است ، طی می کند. اگرچه ممکن است APT35 یک حیله جدید پیدا کرده باشد، این اولین بار نیست که هکرهای ایرانی از کانال های رسانه های اجتماعی برای جاسوسی از پرسنل مورد علاقه خود استفاده می کنند.

در Operation Newscaster کشف شده توسط iSIGHT Partne (اکنون متعلق به FireEye است) در سال ۲۰۱۴، مشخص شد که این عامل تهدید حساب های فیس بوک جعلی و یک وب سایت خبری جعلی برای جاسوسی از رهبران نظامی و سیاسی در ایالات متحده ایجاد کرده است. در این کمپین، تمایل مهاجمان به مکالمه تلفنی مستقیم با قربانی، استفاده از تماس های واتس اپ و شماره تلفن قانونی آلمان را مشاهده کردیم. این TTP (Tactics, Techniques and Procedures) غیر معمول است و هویت جعلی مهاجمان را به خطر می اندازد.

منبع خبر : The Hacker News