IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

شرکت Mandiant مجموعه‌ای از فعالیت‌ها را ردیابی کرده که ادعا کرده است یک گروه تهدید ایرانی است که منافع اسرائیل، به‌ویژه صنعت کشتیرانی را هدف قرار داده است. این فعالیت برای اولین بار در اواخر سال ۲۰۲۰ مورد توجه قرار گرفت و تا اواسط سال ۲۰۲۲ ادامه دارد. Mandiant نام گروه را UNC3890 گذاشته است.

اگرچه هدف‌گیری این گروه به صورت منطقه‌ای بر اسرائیل متمرکز است، برخی از اهداف آن، سازمان‌های جهانی هستند، به این معنی که ممکن است یک اثر موجی در سایر مناطق وجود داشته باشد. اهداف اولیه بخش‌های دولتی، کشتیرانی، انرژی، هوانوردی و مراقبت‌های بهداشتی هستند.

تمرکز زیادی بر کشتیرانی اسرائیل وجود دارد. محققان در تحلیلی می‌گویند: «در حالی که ما معتقدیم این عامل بر روی جمع‌آوری اطلاعات متمرکز است، داده‌های جمع‌آوری‌شده ممکن است برای پشتیبانی از فعالیت‌های مختلف، از هک و نشت، تا فعال کردن حملات جنگ فیزیکی مانند صنعت حمل و نقل در سال‌های اخیر در پی حملاتی آسیب دیده‌اند، مورد استفاده قرار گیرد.

دسترسی اولیه UNC3890 از طریق watering hole‌ها و برداشت اعتبارنامه‌ها بوده است. دومی از سرور‌های C2 گروه که به عنوان سرویس‌های قانونی ظاهر می‌شدند برای جمع‌آوری اعتبارنامه و ارسال فریب‌های فیشینگ استفاده کرد. سرور‌ها میزبان دامنه‌ها و صفحات لاگین جعلی هستند که خدمات قانونی مانند Office 365، شبکه‌های اجتماعی مانند LinkedIn و Facebook را جعل می‌کنند و پیشنهاد‌های شغلی جعلی و تبلیغات جعلی ارائه می‌کنند. محققان همچنین یک سرور UNC3890 حاوی جزئیات نه‌چندان واضح فیس بوک و اینستاگرام پیدا کردند که می‌توانست در حملات مهندسی اجتماعی استفاده شود.

یکی از فریب‌های احتمالی فیشینگ که توسط مهاجمان استفاده می‌شود احتمالاً یک فایل xls است که به عنوان یک پیشنهاد شغلی پنهان شده است اما برای نصب Sugardump طراحی شده که یکی از دو ابزار منحصر به فرد مورد استفاده توسط گروه تهدید است. Sugardump یک ابزار جمع‌آوری اعتبارنامه است که می‌تواند رمز‌های عبور را از مرورگر‌های مبتنی بر Chromium استخراج کند.

ابزار دوم Sugarush است، یک backdoor که برای برقراری ارتباط با C2 تعبیه شده و جهت اجرای دستورات CMD استفاده می‌شود. سایر ابزار‌های مورد استفاده توسط UNC3890 عبارتند از Unicorn (ابزاری برای انجام یک حمله کاهش رتبه PowerShell و تزریق کد shell به حافظه)، Metasploit و Northstar C2 (فریم ورک متن باز C2 که برای تست نفوذ و تیم قرمز توسعه یافته است).

چندین نسخه از Sugardump پیدا شده است. اولین مورد به اوایل سال ۲۰۲۱ با دو نوع مربوط می‌شود. این نسخه اول اعتبارنامه‌ها را بدون استخراج آن‌ها ذخیره می‌کند. این ممکن است یک بدافزار ناکامل باشد یا برای کار با ابزار‌های دیگر برای فرآیند استخراج طراحی شده باشد.

نسخه دوم مربوط به اواخر سال ۲۰۲۱ یا اوایل سال ۲۰۲۲ است که از SMTP برای ارتباط C2 و آدرس‌های Yahoo، Yandex و Gmail برای نفوذ استفاده می‌کند. محققان همچنین به ارتباطی با یک فریب خاص فیشینگ اشاره کردند: یک ویدیوی مهندسی اجتماعی که حاوی آگهی تبلیغاتی برای یک عروسک رباتیک مبتنی بر هوش مصنوعی است.

این نسخه دارای قابلیت‌های پیچیده‌تری برای سرقت اعتبار است و می‌تواند قبل از استخراج از مرورگر‌های فایرفاکس، کروم، اپرا و اج استخراج کند.

نسخه سوم مربوط به‌آوریل ۲۰۲۲ است. این نسخه از HTTP برای ارتباط استفاده می‌کند و با پیشنهاد شغلی جعلی NexisLexis به عنوان نقطه جذابیت آن همراه است. این فریب به عنوان یک فایل XLS حاوی یک ماکرو ارائه می‌شود که تلاش می‌کند یک فایل PE تعبیه شده را اجرا کند. داده‌های جمع‌آوری شده با AES با استفاده از SHA256 رمز عبور تعبیه شده به عنوان کلید رمزگذاری، رمزگذاری می‌شوند. رمز عبور حاوی کلمه Khoda به معنای خدا در فارسی است و همچنین نشان می‌دهد که توسعه دهنده فارسی زبان است. پروژه دات نت برای نسخه «yaal» نام داشت که اصطلاح فارسی یال اسب است.

محققان Sugarush را به عنوان "یک backdoor کوچک اما کارآمد" توصیف می‌کنند که یک shell معکوس بر روی TCP ایجاد ک ده و اتصال به اینترنت را بررسی می‌کند. اگر اتصال وجود داشته باشد، Sugarush یک اتصال TCP جدید به یک آدرس C&C تعبیه شده از طریق پورت 4585 برقرار می‌کند و منتظر پاسخ می‌ماند. پاسخ به عنوان یک دستور CMD برای اجرا تفسیر می‌شود.

طبق ادعا‌ها، ترکیبی از سرنخ‌های موجود در کد و تمرکز بر اهداف اسرائیلی، Mandiant را با «اطمینان متوسط» قانع می‌کند که UNC3890 یک گروه تهدید بالقوه جدید مرتبط با ایران است.