تم نشر مجموعة “ITG18” التي أطلق عليها اسم “ITG18″، والتي تبدو مرتبطة بمجموعة تهديد متقدمة متقدمة إيرانية، في Backdoor Android استخدمها لإخراج المعلومات الحساسة من 20 إفراديا على الأقل في إيران في مجال العمل في الانتخابات الرئاسية في البلاد في البلاد، المخابرات الأمنية ل IBM تقارير.
تستهدف حملة البرامج الضارة، التي كانت تنشط بين 202020 مايو ومايو من هذا العام، الأفراد المحاذاة مع الحركة الإصلاحية الإيرانية واستخدموا البرامج الضارة الروبوت التي سبق تسمى Littlelooter، وفقا للتقرير.
يلاحظ الباحثون البرامج الضارة، التي كانت قادرة على تسجيل الفيديو والصوت، وتنزيل بيانات الرسائل النصية القصيرة، من المحتمل أن يتم نشر جهات الفاعلة التهديدة لدعم المراقبة التي ترعاها الدولة قبل الانتخابات الرئاسية في يونيو / حزيران.
ومن بين التطبيقات التي يستهدفها المهاجمون برقية، واحدة من تطبيقات المراسلة الفورية الوحيدة المسموح بها في إيران، كما يقول IBM.
على الرغم من تعاني من الأخطاء التشغيلية، مثل تسريب مقاطع الفيديو التدريبية بطريق الخطأ في يوليو / تموز، فقد واصلت المجموعة التي تضم المجموعة الضارة عملياتها.
تكتيكات الهجوم
يلاحظ التقرير أن مهاجمين ITG18 يستخدمون الحيل الهندسية الاجتماعية لجمع معلومات عن الضحايا.
ويضيف التقرير أن المجموعة اعتمدت على مجموعة كبيرة من القوى العاملة للاتصال والدردشة ومؤتمر الفيديو كوسيلة لإقامة اتصال أهدافها.
“في حين أن المخابرات التهديدية IBM X-Force] لا يمكن أن تؤكد عدد الأفراد والمنظمات التي استهدفتها ITG18 مؤخرا، فإن ما لوحظ حتى الآن في عام 2021 هو تحديد أكثر من 60 خواسير يستضيف أكثر من 100 نطاقات التصيد، مما يقترح أنه قد يكون هناك كبير عدد الضحايا “، يلاحظ التقرير. “من خلال بعض مقاطع الفيديو التي تم اكتشافها X-Force في الصيف الماضي، لوحظ مشغل ITG18 إنفاق ساعات العمل اليدوي. ورأى التحقق من صحة أوراق اعتماد عن طريق نسخ وأسماء المستخدمين وكلمات المرور المسروقة في مجموعة واسعة من المواقع، لكل ضحتين فقط ”
مقاطع الفيديو التدريبية المتسربة
في 2020 يوليو 2020، اكتشف باحثو IBM خمس مقاطع فيديو تم تسريبها بطريق الخطأ من ITG18 التي أظهرت كيف تستخدم مجموعة القرصنة بيانات اعتماد مسروقة من وسائل التواصل الاجتماعي ومنصات البريد الإلكتروني لإظهار المجندين حول كيفية إفراز البيانات من هذه الحسابات.
في مقطع فيديو واحد، شوهد مهاجما يشارك في محاولة خادع غير ناجحة تستهدف حسابات البريد الإلكتروني لمحلمين إيرانيين أمريكي واثنين من مسؤولي وزارة الخارجية الأمريكية وحساب واحد مرتبط بالسفارة الافتراضية الأمريكية لإيران، وفقا للتقرير.
كشف الباحثون أيضا عن ثلاثة مقاطع فيديو يقوم بها المتسللون في ITG18 بنجاح في خطر الحسابات المرتبطة بضباط البحريين الأمريكيين واليونانيين، ولايات IBM.
وأضاف التقرير أن المهاجمين الذين يستخدمون رسائل البريد الإلكتروني المعرضة للخطر، ثم حصل المهاجمون على معلومات تافهة، مثل التفاصيل على جدول توصيل أصحاب الحساب، والمساعدات المالية للطلاب والمرافق البلدية ومنتجات الأطفال وألعاب الفيديو، لخلق استهداف أكثر دقة للضحايا.
روابط إلى هريرة ساحرة
يقول IBM إن ITG18 يرتبط بمجموعة القرصنة الإيرانية هريرة الساحرة، بناء على التداخل في البنية التحتية الخاصة بهم، كما يقول IBM. كان هريرة ساحرة، والتي تعرف أيضا باسم الفسفور و TA453، بعدة حملات عبر الإنترنت.
في الشهر الماضي، أفاد برهان الشركة الأمنية أن هريرة ساحرة أجرت سلسلة من هجمات الرمح الخادع في محاولة لسرقة المعلومات الحساسة من العلماء الذين يدرسون الشرق الأوسط.
شنت العصابة حملة تصيد في أواخر عام 2020 والتي استخدمت رسائل الرسائل القصيرة والبريد الإلكتروني لنشر الروابط الخبيثة في محاولة لسرقة بيانات اعتماد البريد الإلكتروني في الولايات المتحدة وأوروبا ومنطقة الخليج الفارسي. وكانت الأفراد الأفراد الذين يعملون في صهردان المراكز ومراكز البحوث السياسية والأساتذة الجامعي والصحفيين والناشطين البيئي.