Címke: Irán

Albánia ellen irányuló kiberfenyegetések és a No-Justice törlő szoftver

A legfrissebb kibertámadási hullám az albán intézmények ellen a „No-Justice” elnevezésű törlő szoftver alkalmazását jelentette.

A ClearSky kiberbiztonsági cég szerint ez a Windows rendszeren működő rosszindulatú szoftver az operációs rendszert úgy teszi használhatatlanná, hogy annak újraindítása lehetetlenné válik.

Ezeket a behatolásokat egy iráni „pszichológiai hadműveleti csoport”, a Homeland Justice végrehajtásának tulajdonítják, amely 2022 júliusa óta folyamatosan végrehajt pusztító akciókat Albánia ellen.

2023. december 24-én az ellenfél egy hosszabb kihagyás után ismét előtérbe került, kijelentve, hogy „ismét eljött az ideje a terroristák támogatóinak lerombolásának”, legfrissebb hadműveletüket #DestroyDurresMilitaryCamp-ként jelölve meg. Jelenleg a durrësi város ad otthont az Iráni Népi Mudzsahedin Szervezetnek, röviden a MEK-nek.

Az akcióban érintett célpontok között található az ONE Albánia, az Eagle Mobile Albánia, az Air Albánia és az albán törvényhozás.

A hadjárat során két fő eszközt vetettek be: egy végrehajtható törlő programot és egy PowerShell szkriptet, amely a már említett programot terjeszti tovább a célhálózat többi számítógépére, miután engedélyezte a Windows Távoli Kezelést, ismertebb nevén a WinRM-et. A No-Justice törlőprogram, a NACL.exe, egy 220,34 KB méretű bináris fájl, amely rendszergazdai jogosultságokat igényel a számítógépen tárolt adatok eltávolításához.

Ezt a gép Mesterindító Rekordjából, az MBR-ből származó boot aláírást eltávolítva érik el, ami minden merevlemez első szektorát jelenti, azonosítva, hol helyezkedik el az operációs rendszer a lemezen, így lehetővé téve annak betöltését a számítógép RAM-jába.

A támadás során további érvényes eszközöket is felhasználtak, mint például a Plinket, másnéven a PuTTY Linket, a RevSockset és a Windows 2000 erőforráskészletét, amelyek elősegítik a felderítést, az oldalirányú manőverezést és a tartós távoli hozzáférést. Ez az esemény kapcsolatban áll az iráni szereplők, mint a Cyber Av3ngers, a Cyber Toufan, a Haghjoyan és a YareGomnam Team fokozott figyelmével Izrael és az Egyesült Államok irányába a Közel-Keleten fennálló geopolitikai feszültségek között.

„Úgy tűnik, olyan csoportok, mint a Cyber Av3ngers és a Cyber Toufan, visszavágásra törekvő narratívát alkalmaznak kibertámadásaik során,” számolt be a Check Point a múlt hónapban.

„Az Egyesült Államok területén működő szervezetek izraeli technológiával történő célzásával ezek a hacktivista csoportok egy kettős visszavágó stratégiát igyekeznek megvalósítani, állítólag eg

yszerre Izraelt és az Egyesült Államokat érintő, összehangolt kibertámadás révén.”
A Cyber Toufan különösen több mint 100 szervezet ellen irányuló hackelési és adatszivárogtatási műveletekkel hozható összefüggésbe, fertőzött gazdagépeket törölve és az ellopott adatokat Telegram-csatornájukon megosztva.

„Olyan jelentős károkat okoztak, hogy a szervezetek közel egyharmada képtelen volt helyreállni,” jelentette ki Kevin Beaumont biztonsági szakértő. „Némelyikük még több mint egy hónappal később is teljesen offline maradt, az eltávolított áldozatok között magánvállalatok és izraeli állami intézmények egyaránt megtalálhatóak.”

A múlt hónapban az Izraeli Nemzeti Kiber Direktorátus, az INCD kijelentette, hogy jelenleg körülbelül 15, Iránnal, a Hamásszal és a Hezbollahhal összefüggésbe hozható hackercsoportot figyel, amelyek rosszindulatú tevékenységet folytatnak az izraeli kibertérben az izraeli-hamási háború 2023 októberi kezdete óta.

Az ügynökség megjegyezte, hogy az alkalmazott módszerek és taktikák hasonlóságot mutatnak az Ukrajna-Oroszország konfliktus során használtakkal, pszichológiai hadviselést és törlő kártevőket alkalmazva az érzékeny adatok megsemmisítése érdekében.

Forrás: https://thehackernews.com

Iránból Indított Kibertámadások Célpontja Az Izraeli Technológia és Oktatás

2023 januárjában kezdődött az a sorozat, melynek során számos izraeli felsőoktatási és technológiai intézmény került pusztító kibertámadások célpontjává. Az incidensek elsődleges célja új, eddig ismeretlen adattörlő vírusok telepítése volt.

E behatolásokat az Agonizing Serpens néven ismert iráni hackercsoport hajtotta végre, melyet más néven is ismernek, többek között Agrius, BlackShadow és Pink Sandstorm (korábban Americium) néven.

A Palo Alto Networks Unit 42 kutatócsoportja szerint a támadások leginkább az adatok, köztük a személyes azonosító információk (PII) és a szellemi tulajdonok eltulajdonítására irányultak. „Az adatlopás után a támadók különféle adattörlő szoftvereket telepítettek, hogy eltüntessék nyomaikat és tönkretegyék a fertőzött rendszereket,” áll a The Hacker News-szal megosztott jelentésben.

E támadások során három különleges, újszerű adattörlő programot használtak: a MultiLayer-t, a PartialWasher-t és a BFG Agonizer-t, valamint a Sqlextractor nevű speciális eszközt, amit adatbázis-szerverekből való adatkinyerésre fejlesztettek.

Az Agonizing Serpens csoportot 2020 decemberében izraeli célpontok elleni törlő vírusos támadásokkal hozták összefüggésbe. A Check Point májusban részletezte, hogy a csoport a Moneybird nevű zsarolóprogramot is alkalmazta az ország elleni támadások során.

A legújabb támadássorozatban a hackerek sebezhető internetes webszervereket használtak ki az elsődleges bejutási pontként, ahol webhéjakat telepítettek, felderítették a célhálózatot, és megszerezték a rendszergazdai jogosultságokkal rendelkező felhasználók hitelesítő adatait. Ezt követően az adatokat különböző nyilvános és egyedi eszközökkel, mint a Sqlextractor, a WinSCP és a PuTTY segítségével exfiltrálták, majd a törlő vírusokat telepítették.

A MultiLayer egy .NET alapú vírus, ami fájlokat sorol fel törlésre vagy véletlenszerű adatokkal való felülírásra, megnehezítve a helyreállítást és a rendszerindító szektort törölve, így használhatatlanná téve a rendszert. A PartialWasher egy C++ alapú vírus, ami merevlemezeket vizsgál és bizonyos mappákat, illetve almappáikat törli. A BFG Agonizer egy CRYLINE-v5.0 nevű nyílt forráskódú projekten alapuló vírus.

Az Agrius és más kártevőcsaládok közötti kód átfedések azt mutatják, hogy a csoport korábban az Apostle, az IPsec Helper és a Fantasy nevű kártevőket is használta.

„Úgy tűnik, az Agonizing Serpens APT csoport fokozta képességeit, jelentős erőfeszítéseket és forrásokat fordítva az EDR és más biztonsági megoldások kijátszására,” jelentették ki a kutatók. „E célból váltakozva alkalmaztak különféle ismert proof-of-concept (PoC) és pentesting eszközöket, valamint saját fejlesztésű szoftvereket.”

A támadások nem csak az izraeli intézmények számára jelentettek komoly veszélyt, hanem az egész nemzetközi közösség számára is figyelmeztetést jelentenek a kiberbiztonsági fenyegetések fokozódására. Az izraeli hatóságok és a nemzetközi kiberbiztonsági szakértők együttműködése kulcsfontosságú lesz a jövőbeli támadások megelőzésében és a védekezési stratégiák fejlesztésében. Az eset rámutat arra is, hogy a kiberbiztonság nem csak a technológiai cégek, hanem az oktatási intézmények számára is alapvető fontosságú, és mindkét szektorban szükség van fokozott óvatosságra és felkészültségre. Az izraeli hatóságok folyamatosan monitorozzák a helyzetet és minden szükséges intézkedést megtesznek az érintett intézmények védelme és a támadók azonosítása érdekében.

Forrás: www.thehackernews.com