PYTHONWITHMEDEV Telegram 516
tgoop.com » United States » 🧑‍💻Cyber.vision🧑‍💻 » Telegram web » Post 516
🧑‍💻Cyber.vision🧑‍💻
کارشناسان Fortinet FGIR از یک کمپین بلندمدت APT  خبر می‌دهند که زیرساخت‌های حیاتی ملی در خاورمیانه را هدف قرار می‌دهد.

فعالیت شناسایی‌شده حداقل از ماه مه ۲۰۲۳ تا فوریه ۲۰۲۵ ادامه داشته و شامل عملیات جاسوسی در مقیاس بزرگ بوده که ضمن حفظ دسترسی مداوم به شبکه‌های قربانیان انجام شده است.

فورتی‌نت این حمله را به Lemon Sandstorm (که قبلاً Rubidium نام داشت) نسبت داد که با نام‌های Parisite، Pioneer Kitten و UNC757 نیز ردیابی می‌شود.

APT از سال ۲۰۱۷ فعال بوده و بر صنایع هوافضا، نفت و گاز، آب و برق در ایالات متحده، خاورمیانه، اروپا و استرالیا تمرکز دارد.

به گفته‌ی دراگوس، مهاجم از آسیب‌پذیری‌های امنیتی شناخته‌شده‌ی VPN در Fortinet، Pulse Secure و Palo Alto Networks برای دسترسی اولیه سوءاستفاده می‌کند .

سال گذشته، سازمان‌های اطلاعاتی ایالات متحده، Lemon Sandstorm را به استقرار باج‌افزار در شبکه‌های شرکت‌هایی در ایالات متحده، اسرائیل، آذربایجان و امارات متحده عربی متهم کردند.

حمله علیه سازمان CNI که توسط Fortinet مشاهده شد، در چهار مرحله انجام شد و با استفاده از مجموعه‌ای از ابزارها که دائماً در حال تغییر بودند، قربانی اقدامات متقابل را اجرا می‌کرد.

۱۵ مه ۲۰۲۳ – ۲۹ آوریل ۲۰۲۴: با استفاده از اعتبارنامه‌های سرقت‌شده، یک پایگاه داده ایجاد کرد تا به سیستم SSL VPN قربانی دسترسی پیدا کند، پوسته‌های وب را روی سرورهای عمومی میزبانی کرد و برای اطمینان از دسترسی بلندمدت، از درهای پشتی Havoc، HanifNet و HXLibrary استفاده کرد.

۳۰ آوریل ۲۰۲۴ – ۲۲ نوامبر ۲۰۲۴: تقویت موقعیت خود با معرفی پوسته‌های وب اضافی و درب پشتی NeoExpressRAT با استفاده از ابزارهای plink و Ngrok برای نفوذ عمیق‌تر به شبکه، انجام عملیات استخراج هدفمند ایمیل‌های قربانی و انجام حرکات جانبی در زیرساخت مجازی‌سازی.

۲۳ نوامبر ۲۰۲۴ – ۱۳ دسامبر ۲۰۲۴: استقرار پوسته‌های وب جدید و دو درب پشتی اضافی، MeshCentral Agent و SystemBC، در پاسخ به تلاش‌های مداوم برای مهار حادثه توسط قربانی.

۱۴ دسامبر ۲۰۲۴ - تاکنون: تلاش برای ورود مجدد به شبکه با استفاده از آسیب‌پذیری‌های Biotime (CVE-2023-38950، CVE-2023-38951 و CVE-2023-38952) و حملات فیشینگ به ۱۱ کارمند برای سرقت اطلاعات کاربری مایکروسافت ۳۶۵.

سایر خانواده‌های بدافزار و ابزارهای متن‌باز مورد استفاده در این حمله عبارتند از: HanifNet، HXLibrary، CredInterceptor، RemoteInjector، RecShell، NeoExpressRAT، DropShell، DarkLoadLibrary.

این نسبت‌دهی بر اساس تجزیه و تحلیل زیرساخت C2 (apps.gist.githubapp[.]net و gupdate[.]net) انجام شده است که قبلاً مشخص شده بود با عملیات APT در همان دوره مرتبط است.

فورتی‌نت معتقد است که هدف اصلی این حمله، شبکه محدود فناوری عملیاتی قربانی بوده است، که این موضوع بر اساس ماهیت فعالیت‌های شناسایی عامل تهدید و به خطر افتادن سیستم‌های مجاور فناوری عملیاتی است.

با این حال، هیچ مدرکی مبنی بر نفوذ مهاجمین به شبکه OT به دست نیامد.

بخش عمده‌ای از فعالیت‌های مخرب شامل عملیات دستی انجام شده توسط اپراتورهای مختلف، با توجه به خطاهای دستوری و یک برنامه کاری منظم بود.

علاوه بر این، بررسی عمیق‌تر این حادثه نشان داد که مهاجم ممکن است از اوایل ۱۵ مه ۲۰۲۱ به شبکه دسترسی داشته باشد.

در طول این نفوذ، مهاجم از زنجیره‌ای از پروکسی‌ها و ایمپلنت‌های سفارشی برای دور زدن تقسیم‌بندی شبکه و حرکت در محیط استفاده کرد.

در مراحل بعدی، هکرها به طور متوالی چهار ابزار پروکسی مختلف را برای دسترسی به بخش‌های داخلی شبکه ترکیب کردند و رویکردی پیچیده برای حفظ پایداری و جلوگیری از شناسایی شدن را نشان دادند
www.tgoop.com/pythonwithmedev/516
99 views



tgoop.com/pythonwithmedev/516
Create:
Last Update:

کارشناسان Fortinet FGIR از یک کمپین بلندمدت APT  خبر می‌دهند که زیرساخت‌های حیاتی ملی در خاورمیانه را هدف قرار می‌دهد.

فعالیت شناسایی‌شده حداقل از ماه مه ۲۰۲۳ تا فوریه ۲۰۲۵ ادامه داشته و شامل عملیات جاسوسی در مقیاس بزرگ بوده که ضمن حفظ دسترسی مداوم به شبکه‌های قربانیان انجام شده است.

فورتی‌نت این حمله را به Lemon Sandstorm (که قبلاً Rubidium نام داشت) نسبت داد که با نام‌های Parisite، Pioneer Kitten و UNC757 نیز ردیابی می‌شود.

APT از سال ۲۰۱۷ فعال بوده و بر صنایع هوافضا، نفت و گاز، آب و برق در ایالات متحده، خاورمیانه، اروپا و استرالیا تمرکز دارد.

به گفته‌ی دراگوس، مهاجم از آسیب‌پذیری‌های امنیتی شناخته‌شده‌ی VPN در Fortinet، Pulse Secure و Palo Alto Networks برای دسترسی اولیه سوءاستفاده می‌کند .

سال گذشته، سازمان‌های اطلاعاتی ایالات متحده، Lemon Sandstorm را به استقرار باج‌افزار در شبکه‌های شرکت‌هایی در ایالات متحده، اسرائیل، آذربایجان و امارات متحده عربی متهم کردند.

حمله علیه سازمان CNI که توسط Fortinet مشاهده شد، در چهار مرحله انجام شد و با استفاده از مجموعه‌ای از ابزارها که دائماً در حال تغییر بودند، قربانی اقدامات متقابل را اجرا می‌کرد.

۱۵ مه ۲۰۲۳ – ۲۹ آوریل ۲۰۲۴: با استفاده از اعتبارنامه‌های سرقت‌شده، یک پایگاه داده ایجاد کرد تا به سیستم SSL VPN قربانی دسترسی پیدا کند، پوسته‌های وب را روی سرورهای عمومی میزبانی کرد و برای اطمینان از دسترسی بلندمدت، از درهای پشتی Havoc، HanifNet و HXLibrary استفاده کرد.

۳۰ آوریل ۲۰۲۴ – ۲۲ نوامبر ۲۰۲۴: تقویت موقعیت خود با معرفی پوسته‌های وب اضافی و درب پشتی NeoExpressRAT با استفاده از ابزارهای plink و Ngrok برای نفوذ عمیق‌تر به شبکه، انجام عملیات استخراج هدفمند ایمیل‌های قربانی و انجام حرکات جانبی در زیرساخت مجازی‌سازی.

۲۳ نوامبر ۲۰۲۴ – ۱۳ دسامبر ۲۰۲۴: استقرار پوسته‌های وب جدید و دو درب پشتی اضافی، MeshCentral Agent و SystemBC، در پاسخ به تلاش‌های مداوم برای مهار حادثه توسط قربانی.

۱۴ دسامبر ۲۰۲۴ - تاکنون: تلاش برای ورود مجدد به شبکه با استفاده از آسیب‌پذیری‌های Biotime (CVE-2023-38950، CVE-2023-38951 و CVE-2023-38952) و حملات فیشینگ به ۱۱ کارمند برای سرقت اطلاعات کاربری مایکروسافت ۳۶۵.

سایر خانواده‌های بدافزار و ابزارهای متن‌باز مورد استفاده در این حمله عبارتند از: HanifNet، HXLibrary، CredInterceptor، RemoteInjector، RecShell، NeoExpressRAT، DropShell، DarkLoadLibrary.

این نسبت‌دهی بر اساس تجزیه و تحلیل زیرساخت C2 (apps.gist.githubapp[.]net و gupdate[.]net) انجام شده است که قبلاً مشخص شده بود با عملیات APT در همان دوره مرتبط است.

فورتی‌نت معتقد است که هدف اصلی این حمله، شبکه محدود فناوری عملیاتی قربانی بوده است، که این موضوع بر اساس ماهیت فعالیت‌های شناسایی عامل تهدید و به خطر افتادن سیستم‌های مجاور فناوری عملیاتی است.

با این حال، هیچ مدرکی مبنی بر نفوذ مهاجمین به شبکه OT به دست نیامد.

بخش عمده‌ای از فعالیت‌های مخرب شامل عملیات دستی انجام شده توسط اپراتورهای مختلف، با توجه به خطاهای دستوری و یک برنامه کاری منظم بود.

علاوه بر این، بررسی عمیق‌تر این حادثه نشان داد که مهاجم ممکن است از اوایل ۱۵ مه ۲۰۲۱ به شبکه دسترسی داشته باشد.

در طول این نفوذ، مهاجم از زنجیره‌ای از پروکسی‌ها و ایمپلنت‌های سفارشی برای دور زدن تقسیم‌بندی شبکه و حرکت در محیط استفاده کرد.

در مراحل بعدی، هکرها به طور متوالی چهار ابزار پروکسی مختلف را برای دسترسی به بخش‌های داخلی شبکه ترکیب کردند و رویکردی پیچیده برای حفظ پایداری و جلوگیری از شناسایی شدن را نشان دادند

BY 🧑‍💻Cyber.vision🧑‍💻


Share with your friend now:
tgoop.com/pythonwithmedev/516

View MORE
Open in Telegram


Telegram News

Date: |

Telegram is a leading cloud-based instant messages platform. It became popular in recent years for its privacy, speed, voice and video quality, and other unmatched features over its main competitor Whatsapp. Choose quality over quantity. Remember that one high-quality post is better than five short publications of questionable value. It’s yet another bloodbath on Satoshi Street. As of press time, Bitcoin (BTC) and the broader cryptocurrency market have corrected another 10 percent amid a massive sell-off. Ethereum (EHT) is down a staggering 15 percent moving close to $1,000, down more than 42 percent on the weekly chart. The initiatives announced by Perekopsky include monitoring the content in groups. According to the executive, posts identified as lacking context or as containing false information will be flagged as a potential source of disinformation. The content is then forwarded to Telegram's fact-checking channels for analysis and subsequent publication of verified information. Telegram Android app: Open the chats list, click the menu icon and select “New Channel.”
from us


کارشناسان Fortinet FGIR از یک کمپین بلندمدت APT  خبر می‌دهند که زیرساخت‌های حیاتی ملی در خاورمیانه را هدف قرار می‌دهد.

 🧑‍💻Cyber.vision🧑‍💻 TG
web: 516
🧑‍💻Cyber.vision🧑‍💻.Telegram web
🧑‍💻Cyber.vision🧑‍💻 Telegram TG Channel
Telegram Updated:
Telegram 🧑‍💻Cyber.vision🧑‍💻
FROM American