Címke: Cyber Av3ngers

Albánia ellen irányuló kiberfenyegetések és a No-Justice törlő szoftver

A legfrissebb kibertámadási hullám az albán intézmények ellen a „No-Justice” elnevezésű törlő szoftver alkalmazását jelentette.

A ClearSky kiberbiztonsági cég szerint ez a Windows rendszeren működő rosszindulatú szoftver az operációs rendszert úgy teszi használhatatlanná, hogy annak újraindítása lehetetlenné válik.

Ezeket a behatolásokat egy iráni „pszichológiai hadműveleti csoport”, a Homeland Justice végrehajtásának tulajdonítják, amely 2022 júliusa óta folyamatosan végrehajt pusztító akciókat Albánia ellen.

2023. december 24-én az ellenfél egy hosszabb kihagyás után ismét előtérbe került, kijelentve, hogy „ismét eljött az ideje a terroristák támogatóinak lerombolásának”, legfrissebb hadműveletüket #DestroyDurresMilitaryCamp-ként jelölve meg. Jelenleg a durrësi város ad otthont az Iráni Népi Mudzsahedin Szervezetnek, röviden a MEK-nek.

Az akcióban érintett célpontok között található az ONE Albánia, az Eagle Mobile Albánia, az Air Albánia és az albán törvényhozás.

A hadjárat során két fő eszközt vetettek be: egy végrehajtható törlő programot és egy PowerShell szkriptet, amely a már említett programot terjeszti tovább a célhálózat többi számítógépére, miután engedélyezte a Windows Távoli Kezelést, ismertebb nevén a WinRM-et. A No-Justice törlőprogram, a NACL.exe, egy 220,34 KB méretű bináris fájl, amely rendszergazdai jogosultságokat igényel a számítógépen tárolt adatok eltávolításához.

Ezt a gép Mesterindító Rekordjából, az MBR-ből származó boot aláírást eltávolítva érik el, ami minden merevlemez első szektorát jelenti, azonosítva, hol helyezkedik el az operációs rendszer a lemezen, így lehetővé téve annak betöltését a számítógép RAM-jába.

A támadás során további érvényes eszközöket is felhasználtak, mint például a Plinket, másnéven a PuTTY Linket, a RevSockset és a Windows 2000 erőforráskészletét, amelyek elősegítik a felderítést, az oldalirányú manőverezést és a tartós távoli hozzáférést. Ez az esemény kapcsolatban áll az iráni szereplők, mint a Cyber Av3ngers, a Cyber Toufan, a Haghjoyan és a YareGomnam Team fokozott figyelmével Izrael és az Egyesült Államok irányába a Közel-Keleten fennálló geopolitikai feszültségek között.

„Úgy tűnik, olyan csoportok, mint a Cyber Av3ngers és a Cyber Toufan, visszavágásra törekvő narratívát alkalmaznak kibertámadásaik során,” számolt be a Check Point a múlt hónapban.

„Az Egyesült Államok területén működő szervezetek izraeli technológiával történő célzásával ezek a hacktivista csoportok egy kettős visszavágó stratégiát igyekeznek megvalósítani, állítólag eg

yszerre Izraelt és az Egyesült Államokat érintő, összehangolt kibertámadás révén.”
A Cyber Toufan különösen több mint 100 szervezet ellen irányuló hackelési és adatszivárogtatási műveletekkel hozható összefüggésbe, fertőzött gazdagépeket törölve és az ellopott adatokat Telegram-csatornájukon megosztva.

„Olyan jelentős károkat okoztak, hogy a szervezetek közel egyharmada képtelen volt helyreállni,” jelentette ki Kevin Beaumont biztonsági szakértő. „Némelyikük még több mint egy hónappal később is teljesen offline maradt, az eltávolított áldozatok között magánvállalatok és izraeli állami intézmények egyaránt megtalálhatóak.”

A múlt hónapban az Izraeli Nemzeti Kiber Direktorátus, az INCD kijelentette, hogy jelenleg körülbelül 15, Iránnal, a Hamásszal és a Hezbollahhal összefüggésbe hozható hackercsoportot figyel, amelyek rosszindulatú tevékenységet folytatnak az izraeli kibertérben az izraeli-hamási háború 2023 októberi kezdete óta.

Az ügynökség megjegyezte, hogy az alkalmazott módszerek és taktikák hasonlóságot mutatnak az Ukrajna-Oroszország konfliktus során használtakkal, pszichológiai hadviselést és törlő kártevőket alkalmazva az érzékeny adatok megsemmisítése érdekében.

Forrás: https://thehackernews.com