براساس خبرهای منتشر شده، بهتازگی شرکت امنیتی فایرآی «FireEye» از یک حمله فیشینگ سازمانیافته به کاربران وبسایت لینکدین خبر داده است. به گفته فایرآی، این حملات توسط هکرهای گروه APT34، وابسته به حکومت ایران انجام شده است.
وبسایت لینکدین «Linkedin»، یکی از بزرگترین شبکههای اجتماعی ویژه متخصصان است که افراد در آن حسابهایی با هدف انتشار اطلاعات شغلی و حرفهای ایجاد میکنند. افراد مختلف و شرکتهای بزرگ در سراسر جهان، از لینکدین برای یافتن شغل یا پیدا کردن افراد مناسب برای موقعیتهای شغلی استفاده میکنند.
براساس گزارش فایرآی، این حملات که افراد دارای موقعیتهای خاص و مورد توجه حکومت ایران در وبسایت لینکدین را هدف داده، با ارسال پیامهای جعلی دعوت به کار و آلودهسازی دستگاهها به بدافزار انجام شده است. فایرآی گفته است که مهاجمان با ایجاد حسابهای جعلی در لینکدین و تظاهر به داشتن موقعیتهای دانشگاهی، ابتدا تلاش کردهاند که اعتماد اهداف خود را بدست آورند.
در همین رابطه شرکت فایرآی در گزارش خود برای نمونه به حسابی جعلی با نام ربکا واتس «Rebecca Watts»، فردی که خود را از پژوهشگرهای دانشگاه کمبریج جا زده، اشاره کرده است. این حساب جعلی پس از برقراری ارتباط با قربانیان خود، لینکهایی در ظاهر معتبر به آنها ارسال میکرد که در آن فایلی آلوده جاسازی شده بود.
این اولین باری نیست که هکرهای گروه APT34 در کمپینهای مختلف خود از گفتوگوهای کاری و پیشنهاد شغل استفاده میکنند. این گفتوگوها اغلب در پلتفرمهای شبکههای اجتماعی انجام میشوند که در صورت تمرکز سازمانهای مورد هدف روی لایههای دفاعی در سرویسهای ایمیلی برای جلوگیری از نفوذ، میتواند مکانیزم مناسبی برای به دام انداختن قربانیان باشد.
براساس اطلاعات موجود،بدافزار استفاده شده توسط هکرهای گروه APT34، یک دربپشتی «Backdoor» با نام Tonedeaf است که با استفاده از درخواستهای ارسال و دریافت اطلاعات، با یک سرور کنترل و فرمان ارتباط برقرار میکند. این دربپشتی عملکردهای بسیاری از جمله قابلیت جمعآوری اطلاعات سیستم، آپلود و دانلود فایلها و اجرای فرامین مدیریتی shell را دارد.
توضیحات بیشتر در:
- Declining APT34’s Invite to Join Their Professional Network