Bir İran-Nexus grubu, Avrupa ve dünyadaki diğer bölgelerdeki elçilikleri ve konsoloslukları hedefleyen “koordineli” ve “çok dalga” mızrak aktı kampanyasıyla bağlantılıdır.
Etkinlik, İsrail siber güvenlik şirketi Dream tarafından, İranlı uyumlu operatörlere, daha geniş saldırgan siber faaliyetlere bağlı olarak, Vatan Adaleti.
Şirket, “E -postalar dünya çapında birden fazla hükümet alıcısına gönderildi ve meşru diplomatik iletişimi gizledi.” Dedi. “Kanıtlar, artan jeopolitik gerginlik döneminde diplomatik ve hükümet kuruluşlarına yönelik daha geniş bir bölgesel casusluk çabasına işaret ediyor.”
Saldırı zincirleri, İran ve İsrail arasındaki jeopolitik gerginliklerle ilgili temalarla mızrak aktı e-postalarının kullanılmasını, alıcıları, kötü amaçlı basılı incelemekten sorumlu olan uygulamalar için gömülü bir görsel (VBA) makro yürütmeye çağıran kötü niyetli bir Microsoft kelimesini göndermek için kullanmayı içerir.
Rüya başına e -posta mesajları, Orta Doğu, Afrika, Avrupa, Asya ve Amerika’daki elçiliklere, konsolosluklara ve uluslararası kuruluşlara gönderildi ve bu da etkinliğin geniş bir kimlik avı ağı oluşturduğunu gösteriyor. Avrupa büyükelçilikleri ve Afrika örgütlerinin en ağır hedeflenenleri olduğu söyleniyor.
Dijital misyonlar, kendilerine ekstra bir güvenilirlik katmanı vermek için yetkililere ve sahte hükümet kuruluşlarına ait 104 benzersiz uzlaştırılmış adresten gönderildi. En azından bazı e -postalar, Paris’teki Umman Dışişleri Bakanlığı’na (*@fm.gov.om) ait hacklenmiş bir posta kutusundan kaynaklandı.
Dream, “Cazibe içeriği sürekli olarak acil MFA iletişimine atıfta bulundu, otoriteyi aktardı ve makroların kasıtlı olarak maskelenen bir casusluk operasyonunun ayırt edici özellikleri olan içeriğe erişmesini sağlama ortak uygulamasından yararlandı.” Dedi.
Saldırıların nihai amacı, VBA makrosuna kalıcılık oluşturabilen, bir komut ve kontrol (C2) sunucusuna başvurabilen bir yürütülebilir ürün ve sistem bilgilerini hasat etmektir.
Geçen ayın sonlarında kampanyanın bazı yönlerini de detaylandıran siber güvenlik şirketi Clearsky, kimlik avı e -postalarının birden fazla dışişleri bakanlıklarına gönderildiğini söyledi.
“Benzer gizleme teknikleri, İran tehdit aktörleri tarafından 2023 yılında Arnavutluk’ta Mojahedin-e-Khalq’ı hedeflediklerinde kullanıldı.” Dedi.