هشدارهای افتایی
یک کارزار فیشینگ مرموز جدید شناسایی شده است که با هدف قرار دادن سازمان‌های دولتی و کسب‌وکارهای مرتبط با آن‌ها در کشورهای مختلف اقدام به سرقت اطلاعات احرازهویت می‌کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، در جریان این کارزار، حداقل 22 سازمان مختلف در کشورهایی همچون ایالات متحده، کانادا، مکزیک، پرو، چین، ژاپن، سنگاپور، مالزی، استرالیا، سوئد، لهستان و آفریقای جنوبی مورد حمله قرار گرفته‌اند. کارزار مذکور شامل ایمیل‌هایی است که در ظاهر مرتبط با یکی از آژانس‌های دولتی وابسته به سازمان هدف قرار گرفته شده است. در این ایمیل‌ها کاربر تشویق به کلیک بر روی لینکی می‌شود که او را به سایتی جعلی (اما مشابه با سایت اصلی) هدایت کرده و در آنجا در صورت ورود نام کاربری و رمز عبور توسط قربانی، اطلاعات به مهاجمان ارسال می‌شود.
محققان امنیتی معتقدند که تلاش و وقت زیادی صرف واقعی جلوه دادن این کارزار به‌عمل آورده شده است. گر چه گردانندگان اصلی این حملات و انگیزه آن‌ها از اجرای این کارزار مشخص نیست اما بر اساس شواهد موجود می‌توان جاسوسی سازمانی را یکی از نیات این مهاجمان دانست. از جمله انگیزه‌های احتمالی می‌تواند تلاش برای شناسایی شرکت‌کنندگان در مناقصات دولتی و در نتیجه ارائه پیشنهاد با قیمتی پایین‌تر از رقبا (به منظور برنده شدن در مناقصه) یا نفوذ به تأمین‌کنندگان سازمان برای کسب منافع بیشتر باشد.
تمرکز عمده این حملات بر روی سازمان‌های دولتی است؛ با این حال سهم کوچکی را نیز شرکت‌های فعال در حوزه تدارکات و لجستیک مرتبط با اهداف تشکیل می‌دهد. بیشترین تعداد این حملات در کشور امریکا و وزارت انرژی و بازرگانی این کشور دیده شده است.
گردانندگان این حملات با ظرافت هر چه تمام، ترفندهایی کاملاً خاص اهداف خود را در ایمیل‌های فیشینگ و فایل‌های پیوست شده به آن‌ها لحاظ کرده‌اند. برای مثال، پیوست این ایمیل‌ها سندی است که به‌نحوی مرتبط با مناقصه یا خریدهای سازمان هدف قرار گرفته شده است. در همه این موارد نیز زبان مورد استفاده در ایمیل و سند پیوست شده به آن زبان رسمی کشوری است که سازمان مورد حمله در آن قرار دارد.
برای نمونه، در ایمیل فیشینگی که به کارکنان وزارات بازرگانی ایالات متحده ارسال شده ادعا می‌شود که سند پیوست حاوی اطلاعاتی در خصوص محصولات و سرویس‌های تجاری مورد مناقصه است تا بدین ترتیب شانس باز شدن فایل توسط کاربر افزایش پیدا کند. در فایل پیوست نیز لینکی جاسازی شده که کلیک بر روی آن منجر به باز شدن یکی از سایت‌های فیشینگ این مهاجمان می‌شود.
همانند ایمیل‌ها و اسناد پیوست شده به آن‌ها، سایت‌های فیشینگ نیز کاملاً مشابه با سایت‌های واقعی مورد استفاده کاربران سازمان طراحی شده‌اند. این سایت‌ها حاوی نام‌ها، اطلاعات و اسنادی در ظاهر منطبق با نمونه‌های واقعی هستند تا کمترین شک را متوجه کاربر کنند.
در بررسی‌های انجام شده در مجموع 62 دامنه و 122 سایت فیشینگ شناسایی شده است.
علاوه بر لزوم آگاهی راهبران و مسئولان امنیت سازمان در خصوص روش‌ها و تکنیک‌های جدید بکار رفته در حملات سایبری، آگاهی‌رسانی امنیتی به کارکنان در خصوص نحوه برخورد با حملات مبتنی بر ترفندهای مهندسی اجتماعی از جمله حملات فیشینگ نقشی کلیدی در خنثی سازی چنین تهدیداتی دارد.

نشانه‌های آلودگی (IOC):
هش:
•    2c9a450f635e438ff3bac4159ae8d630192815b5199723b58e9cf53b626b5a28
•    83b056c71c373bc44e12d21f35c2c3109492238a6e4e0c9038f1979ef567a076
•    370423319c9978f764c4dbb7082cad834019143a952df28fcd80e747d2985022
•    C0d25669cc05ef1e4fbeb13b7c1779838fdd0aae581c920f2cbefa0a31052415
•    23ba92ee1d87426a22787c66b3bc014f3a95d8cfa5ac673735eae0478bfd63cf
IP و دامنه:
•    31[.]210[.]96[.]221
•    188[.]241[.]58[.]170
•    91[.]235[.]116[.]146
•    193[.]29[.]187[.]173
•    server-bidsync[.]best
•    server1-bidsync[.]best
•    server2-bidsync[.]best
•    101090[.]xyz
•    cnboftexas[.]com
•    40-70[.]xyz
•    40-71[.]xyz
•    40-72[.]xyz
•    40-75[.]xyz
•    50-31[.]xyz
•    50-32[.]xyz
•    50-33[.]xyz
•    auth-1[.]icu
•    auth-a[.]site
•    auth-f[.]icu
•    auth-g[.]icu
•    v2020[.]xyz
•    39-71[.]site
•    39-73[.]site
•    40-31[.]xyz
•    40-32[.]xyz
•    40-33[.]xyz
•    40-34[.]xyz
•    40-35[.]xyz
•    40-36[.]xyz
•    40-37[.]xyz
•    40-38[.]xyz
•    40-39[.]xyz
•    40-41[.]xyz
•    40-62[.]xyz
•    40-73[.]xyz
•    40-74[.]xyz
•    41-22[.]site
•    41-23[.]site
•    41-25[.]site
•    41-26[.]site
•    50-34[.]xyz
•    57-85[.]online
•    65-25[.]xyz
•    65-26[.]xyz
•    65-27[.]xyz
•    65-28[.]xyz
•    70-40[.]xyz
•    70-45[.]xyz
•    auth-002[.]icu
•    auth-02[.]icu
•    energy-gov-us[.]online
•    energy-govt[.]org
•    energy-gov-us[.]xyz
•    energy-gov[.]org
•    energy-gov-bidsync[.]site
•    energy-gov[.]online
•    energy-gov[.]us
•    energy-gov-us[.]website
•    energy-gov-bidsync-server[.]icu
•    energy-gov-bidsync[.]xyz
•    energy-gov-bidsync[.]website
•    energy-gov-bidsync[.]online
•    energy-gov-bidsync[.]icu
•    energy-gov-us[.]site
•    onsearch[.]es
•    lazapateriadematilda[.]cl
•    newnepaltreks[.]com
•    saicards[.]in
•    energy[.]gov[.]secure[.]bidsync[.]newnepaltreks[.]com
•    energy[.]gov[.]bidsync[.]newnepaltreks[.]com
•    energy[.]gov[.]bidsync[.]secure[.]newnepaltreks[.]com
•    energy[.]gov[.]secure[.]bidsync[.]newnepaltreks[.]com
•    sfexpress[.]com[.]tracking[.]verify-package[.]
•    newnepaltreks[.]com
•    dms[.]myflorida[.]com[.]auth[.]bidsync[.]server-bidsync[.]best
•    dms[.]myflorida[.]com[.]auth[.]server-bidsync[.]best
•    dms[.]myflorida[.]com[.]bidsync[.]server-bidsync[.]best
•    energy[.]gov[.]secure[.]server-bidsync[.]best
•    sfexpress[.]com[.]tracking[.]verify-package[.]serverbidsync[.]best
•    commerce[.]gov[.]eprocurement[.]bidysnc[.]101090[.]xyz
•    sfexpress[.]com[.]tracking[.]101090[.]xyz
•    sfexpress[.]com[.]tracking[.]verify-package[.]101090[.]xyz
•    commerce[.]gov[.]eprocurement[.]bidysnc[.]40-70[.]xyz
•    va[.]gov[.]eprocurement[.]bidsync[.]40-70[.]xyz
•    commerce[.]gov[.]eprocurement[.]40-71[.]xyz
•    commerce[.]gov[.]eprocurement[.]bidysnc[.]40-71[.]xyz
•    compras[.]gob[.]mx[.]seguro[.]electronicas[.]40-71[.]xyz
•    eprocurement[.]gov[.]za[.]secure[.]40-71[.]xyz
•    logistic[.]dhl[.]com[.]40-71[.]xyz
•    logistic[.]dhl[.]online[.]tracking[.]40-71[.]xyz
•    logistics[.]dhl[.]com[.]40-71[.]xyz
•    njhousing[.]gov[.]e-procurement[.]bidsync[.]portal[.]auth[.]40-71[.]xyz
•    sfexpress[.]com[.]tracking[.]verify-package[.]40-71[.]xyz
•    sfexpress[.]com[.]tracking[.]verify-package[.]auth[.]40-71[.]xyz
•    fexpress[.]com[.]verify-package[.]40-71[.]xyz
•    va[.]gov[.]eprocurement[.]bidsync[.]40-71[.]xyz
•    njhousing[.]gov[.]eprocurement[.]bidsync[.]auth[.]40-72[.]xyz
•    va[.]gov[.]eprocurement[.]bidsync[.]40-72[.]xyz
•    commerce[.]gov[.]eprocurement[.]bidysnc[.]40-75[.]xyz
•    commerce[.]gov[.]eprocurement[.]bidysnc[.]auth[.]40-75[.]xyz
•    commerce[.]gov[.]eprocurement[.]bidysnc[.]50-31[.]xyz
•    meti[.]go[.]jp[.]tender[.]50-32[.]xyz
•    sfexpress[.]com[.]tracking[.]verify-package[.]50-32[.]xyz
•    commerce[.]gov[.]bidysnc[.]eprocurement[.]auth[.]50-33[.]xyz
•    count[.]mail[.]163[.]comm[.]jkl[.]count[.]all[.]count[.]mail[.]163[.]com[.]50-33[.]xyz
•    count[.]mail[.]163[.]comm[.]jkl[.]count[.]eze[.]count[.]mail[.]163[.]com[.]50-33[.]xyz
•    count[.]mail[.]163[.]comm[.]jkl[.]count[.]ezee[.]count[.]mail[.]163[.]com[.]50-33[.]xyz
•    count[.]mail[.]qq[.]comm[.]jkl[.]count[.]eze[.]count[.]mail[.]qq[.]com[.]50-33[.]xyz
•    eprocurement[.]commerce[.]gov[.]auth-a[.]site/secure/login2[.]html
•    energy[.]gov[.]bidsync[.]secure[.]auth-f[.]icu
•    maryland[.]gov[.]eprocurement[.]bidsync[.]auth-f[.]icu
•    meti[.]go[.]jp[.]secure[.]auth-f[.]icu
•    mti[.]gov[.]sg[.]auth-f[.]icu
•    regeringen[.]se[.]anbud[.]auth-f[.]icu
•    regeringen[.]se[.]anbud[.]hemsida[.]auth-g[.]icu
•    commerce[.]gov[.]bidysnc[.]eprocurement[.]auth[.]v2020[.]xyz
•    sfexpress[.]com[.]tracking[.]verify-package[.]cn[.]v2020[.]xyz
•    sfexpress[.]com[.]tracking[.]verify-package[.]v2020[.]xyz
•    miti[.]gov[.]my[.]perolehan[.]selamat[.]cnboftexas[.]us
•    gov[.]sg[.]tender[.]secure[.]server[.]cnboftexas[.]us
•    transportation[.]gov[.]eprocurement[.]bidsync[.]39-71[.]site
•    staffdirectory-updateform[.]39-73[.]site
•    mot[.]gov[.]cn[.]40-31[.]xyz
•    mot[.]gov[.]cn[.]40-32[.]xyz
•    sfexpress[.]com[.]sc[.]verify-package[.]40-32[.]xyz
•    eprocurement[.]canada[.]ca[.]tenders[.]40-33[.]xyz
•    eprocurement[.]canada[.]ca[.]tenders[.]40-34[.]xyz
•    eprocurement[.]canada[.]ca[.]tenders[.]40-35[.]xyz
•    compras[.]gob[.]pe[.]40-35[.]xyz
•    eprocurement[.]canada[.]ca[.]tenders[.]40-36[.]xyz
•    compras[.]gob[.]pe[.]40-37[.]xyz
•    compras[.]gob[.]pe[.]40-37[.]xyz
•    commerce[.]gov[.]eprocurement[.]bidysnc[.]40-37[.]xyz
•    commerce[.]gov[.]eprocurement[.]bidysnc[.]40-37[.]xyz
•    va[.]gov[.]eprocurement[.]bidsync[.]40-37[.]xyz
•    va[.]gov[.]eprocurement[.]bidsync[.]40-37[.]xyz
•    eprocurement[.]canada[.]ca[.]tenders[.]40-38[.]xyz
•    paih[.]gov[.]pl[.]portal[.]zakupo[.]40-38[.]xyz
•    paih[.]gov[.]pl[.]portal[.]zakupow[.]40-38[.]xyz
•    commerce[.]gov[.]eprocurement[.]bidysnc[.]40-38[.]xyz
•    eprocurement[.]canada[.]ca[.]tenders[.]40-39[.]xyz
•    compras[.]gob[.]pe[.]40-39[.]xyz
•    eprocurement[.]canada[.]ca[.]tenders[.]40-41[.]xyz
•    paih[.]gov[.]pl[.]portal[.]zakupo[.]40-41[.]xyz
•    paih[.]gov[.]pl[.]portal[.]zakupow[.]40-41[.]xyz
•    compras[.]gob[.]pe[.]40-41[.]xyz
•    commerce[.]gov[.]eprocurement[.]bidysnc[.]40-62[.]xyz
•    commerce[.]gov[.]eprocurement[.]bidysnc[.]40-62[.]xyz
•    va[.]gov[.]eprocurement[.]bidsync[.]40-62[.]xyz
•    va[.]gov[.]eprocurement[.]bidsync[.]40-62[.]xyz
•    njhousing[.]gov[.]eprocurement[.]bidsync[.]auth[.]40-74[.]xyz
•    commerce[.]gov[.]eprocurement[.]bidysnc[.]40-74[.]xyz
•    commerce[.]gov[.]eprocurement[.]bidysnc[.]auth[.]40-74[.]xyz
•    mot[.]gov[.]cn[.]41-22[.]site
•    mot[.]gov[.]cn[.]41-23[.]site
•    compranet[.]funcionpublica[.]gob[.]mx[.]41-23[.]site
•    commerce[.]gov[.]eprocurement[.]bidysnc[.]50-34[.]xyz
•    transportation[.]gov[.]eprocurement[.]bidsync[.]57-85[.]online
•    login[.]microsoftonline[.]com[.]secure[.]65-26[.]xyz
•    meti[.]go[.]jp[.]secure[.]65-27[.]xyz
•    eprocurement[.]gov[.]za[.]secure[.]65-27[.]xyz
•    sfexpress[.]com[.]tracking[.]verify-package[.]70-40[.]xyz
•    eprocurement[.]gov[.]za[.]secure[.]70-40[.]xyz
•    meti[.]go[.]jp[.]70-45[.]xyz
•    meti[.]go[.]jp[.]auth[.]70-45[.]xyz
•    sfexpress[.]com[.]tracking[.]verify-package[.]70-45[.]xyz
•    energy[.]gov[.]bidsync[.]secure[.]auth-002[.]icu
•    maryland[.]gov[.]eprocurement[.]bidsync[.]auth-02[.]icu

منبع:
(با سپاس از شرکت مهندسی شبکه گستر در تهیه این گزارش )

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.