イラン政府のハッキング集団が、2023年秋にさかのぼるキャンペーンで反政府勢力、ジャーナリスト、野党グループをターゲットにしていることをFBIが明かしました。
最近のUS医療機器企業Strykerに対するワイパー攻撃の責任を主張したハンダラグループは、テヘランの情報治安省(MOIS)に関連していると言われています。
このグループは情報収集およびハック・アンド・リーク活動の形で、様々な野党グループへの複数の攻撃に関連付けられています。
「このサイバー活動の一部として使用されたマルウェアには、感染したデバイスへのリモートユーザーアクセスを可能にするマルチステージペイロードが含まれていました。脅威行為者は、Windowsマシン上で一般的に使用されるプログラムまたはサービスになりすまし、マルウェアの最初のステージをカスタマイズするためにソーシャルエンジニアリングを使用しました」とFBIは明かしました。
「第2段階では、感染したマシンを被害者デバイスからスクリーンキャプチャまたはファイルを流出させるためのリモートユーザーアクセスを可能にするTelegramコマンド・アンド・コントロールボットに接続しました。」
ハンダラについてさらに読む:ハイブリッド中東紛争がグローバルサイバーアクティビティの急増をもたらす。
少なくとも1つのケースでは、脅威行為者はソーシャルメッセージングプラットフォームの技術サポートになりすまし、被害者にマルウェアを含むファイル転送を受け入れるよう説得しました。
「複数の観察に基づいて、マルウェアの最初のステージは、被害者がマルウェアをダウンロードする可能性を高めるために被害者のライフパターンに合わせて調整されているようであり、これはイランのサイバー行為者が被害者と交渉する前にターゲット偵察を行った可能性が高いことを示しています」とFBIレポートは述べています。
調査官が入手した複数のマルウェアサンプルは、Pictory、KeePass、WhatsApp、Telegramのソフトウェアになりすましたマルウェアを明かしています。マルウェアはディレクトリを除外し、PowerShellを使用して実行することで防御回避を達成しました。レポートはこう続けています。
機能には、スクリーンおよびオーディオ録画、キャッシュキャプチャ、ファイル圧縮、およびファイル削除が含まれていました。
第2段階のマルウェアは、感染したマシンをTelegramコマンド・アンド・コントロール(C2)ボットに接続し、リモートアクセスとデータ流出を可能にするとのことです。
ハンダラから身を守る方法
FBIは個人と組織に対して、以下の方法でこれらのハッキング試行に抵抗するよう促しました:
- デバイスが最新のオペレーティングシステムおよびソフトウェアバージョンで更新されていることを確認する
- 公式アプリストアやベンダーウェブサイトなどの信頼できるソースからのみソフトウェアをダウンロードする
- デバイスにアンチマルウェアソフトウェアをインストールする
- 強力でユニークなパスワードを使用し、多要素認証を有効にする
- 疑わしいメールまたはメッセージをメールクライアントに報告し、疑われる犯罪を地域のFBI支部に報告する
翻訳元: https://www.infosecurity-magazine.com/news/handala-group-iranian-hack-and/
