กลุ่มแฮกเกอร์ Pro-Iranian กำหนดเป้าหมายไปที่แอลเบเนียด้วยมัลแวร์ Wiper No-Justice

 

 

การโจมตีทางไซเบอร์ระลอกล่าสุด ที่กำหนดเป้าหมายไปที่องค์กรในแอลเบเนียเกี่ยวข้องกับการใช้ที่ปัดน้ำฝนที่เรียกว่า ไม่- ความยุติธรรม.

 

การค้นพบ มาจากบริษัทรักษาความปลอดภัยทางไซเบอร์ ClearSky ซึ่งกล่าวว่ามัลแวร์ที่ใช้ Windows “ทำให้ระบบปฏิบัติการขัดข้องในลักษณะที่ไม่สามารถทำได้ รีบูตเครื่อง”

 

การบุกรุกดังกล่าวมีสาเหตุมาจาก “กลุ่มปฏิบัติการทางจิตวิทยา” ของอิหร่าน รู้จักกันในชื่อ Homeland Justice ซึ่งเริ่มดำเนินการตั้งแต่เดือนกรกฎาคม 2022 โดยเฉพาะการจัดการโจมตีแอลเบเนียแบบทำลายล้าง

 

ในวันที่ 24 ธันวาคม 2023 ฝ่ายตรงข้ามกลับมาปรากฏตัวอีกครั้งหลังจากหายไปโดยระบุว่า “กลับมาเพื่อทำลายผู้สนับสนุนผู้ก่อการร้าย” อธิบายแคมเปญล่าสุดในชื่อ #DestroyDurresMilitaryCamp เมือง Durrës ของแอลเบเนีย ปัจจุบันเป็นเจ้าภาพ กลุ่มผู้ไม่เห็นด้วย People’s Mojahedin Organisation ofอิหร่าน (MEK)

 

เป้าหมายของการโจมตี ได้แก่ ONE Albania, Eagle Mobile Albania, Air Albania และรัฐสภาแอลเบเนีย

 

เครื่องมือหลักสองเครื่องมือที่ใช้งานระหว่างแคมเปญ ได้แก่ ที่ปัดน้ำฝนที่ปฏิบัติการได้และสคริปต์ PowerShell ที่ออกแบบมาเพื่อเผยแพร่เครื่องมือแรกไปยังเครื่องอื่นในเครือข่ายเป้าหมายหลังจากเปิดใช้งาน Windows Remote Management (< i=1>WinRM).

 

Wiper No-Justice (NACL.exe) เป็นไบนารีขนาด 220.34 KB ที่ต้องการสิทธิ์ผู้ดูแลระบบจึงจะลบข้อมูลในคอมพิวเตอร์ได้

 

สามารถทำได้โดยการลบลายเซ็นการบูตออกจาก Master Boot Record (MBR) ซึ่งหมายถึงเซกเตอร์แรกของฮาร์ดดิสก์ใดๆ ที่ระบุตำแหน่งของระบบปฏิบัติการในดิสก์เพื่อให้สามารถโหลดลงใน RAM ของคอมพิวเตอร์ได้

 

นอกจากนี้ ในระหว่างการโจมตียังมีเครื่องมือที่ถูกต้องตามกฎหมายเช่น Plink (หรือที่เรียกว่า PuTTY Link), RevSocks และชุดทรัพยากร Windows 2000 เพื่ออำนวยความสะดวกในการลาดตระเวน การเคลื่อนไหวด้านข้าง และการเข้าถึงระยะไกลอย่างต่อเนื่อง

 

 

การพัฒนามาในรูปแบบ ผู้แสดงภัยคุกคามที่สนับสนุนอิหร่าน เช่น Cyber ​​Av3ngers< a i=4>, Cyber ​​Toufan, Haghjoyan และทีม YareGomnam มุ่งเป้าไปที่อิสราเอลและสหรัฐอเมริกามากขึ้นเรื่อยๆ ท่ามกลางความตึงเครียดทางภูมิรัฐศาสตร์ที่ยังคงดำเนินต่อไปในตะวันออกกลาง

 

“กลุ่มต่างๆ เช่น Cyber ​​Av3ngers และ Cyber ​​Toufan ดูเหมือนจะนำเรื่องเล่าของการตอบโต้ในการโจมตีทางไซเบอร์ของพวกเขามาใช้” จุดตรวจสอบ เปิดเผย เมื่อเดือนที่แล้ว

 

“โดยการฉวยโอกาสกำหนดเป้าหมายหน่วยงานของสหรัฐฯ โดยใช้เทคโนโลยีของอิสราเอล พร็อกซีของนักแฮ็กทีวิสต์เหล่านี้พยายามที่จะบรรลุกลยุทธ์การตอบโต้แบบสองทาง โดยอ้างว่ากำหนดเป้าหมายทั้งอิสราเอลและสหรัฐฯ ในการโจมตีทางไซเบอร์ที่เตรียมการเพียงครั้งเดียว”

 

โดยเฉพาะอย่างยิ่ง Cyber ​​Toufan ได้รับการ เชื่อมโยง กับปฏิบัติการแฮ็กและรั่วไหลที่พุ่งเป้าไปที่องค์กรมากกว่า 100 แห่ง และล้างข้อมูลโฮสต์ที่ติดไวรัส และปล่อยข้อมูลที่ขโมยมาใน ช่องโทรเลข

 

“สิ่งเหล่านี้ก่อให้เกิดความเสียหายมากจนองค์กรหลายแห่ง – ที่จริงแล้วเกือบหนึ่งในสามไม่สามารถกู้คืนได้” นักวิจัยด้านความปลอดภัย Kevin Beaumont กล่าว “บางส่วนยังคงออฟไลน์โดยสมบูรณ์ในอีกหนึ่งเดือนต่อมา และเหยื่อที่ถูกลบล้างนั้นเป็นกลุ่มบริษัทเอกชนและหน่วยงานรัฐบาลของรัฐอิสราเอล”

 

เมื่อเดือนที่แล้ว คณะกรรมการไซเบอร์แห่งชาติอิสราเอล (INCD) กล่าวว่า ขณะนี้กำลังติดตามกลุ่มแฮ็กเกอร์ประมาณ 15 กลุ่มที่เกี่ยวข้องกับอิหร่าน ฮามาสและฮิซบอลเลาะห์ที่ปฏิบัติการอย่างมุ่งร้ายในโลกไซเบอร์ของอิสราเอลนับตั้งแต่เริ่มสงครามอิสราเอล-ฮามาสในเดือนตุลาคม 2023

 

หน่วยงานยังตั้งข้อสังเกตอีกว่าเทคนิคและยุทธวิธีที่ใช้มีความคล้ายคลึงกับที่ใช้ในสงครามยูเครน-รัสเซีย โดยใช้ประโยชน์จากสงครามจิตวิทยาและมัลแวร์เพื่อทำลายข้อมูลที่ละเอียดอ่อน

 

Reference : https://thehackernews.com/2024/01/pro-iranian-hacker-group-targeting.html

 

ขอบคุณครับ

บริษัท a2network (Thailand ) จำกัด

ติดต่อ : 02-261-3020