美国和以色列网络安全机构发布了一份新公告,称伊朗网络组织以 2024 年夏季奥运会为目标,并损害了一家法国商业动态显示提供商,以显示谴责以色列参加体育赛事的信息。
该活动已被固定在一个名为埃门内特·帕萨尔加德这些机构表示,自 2024 年中期以来,该公司一直以 Aria Sepehr Ayandehsazan (ASA) 为幌子运营。它受到更广泛的网络安全社区的关注,如 Cotton Sandstorm、Haywire Kitten 和 Marnanbridge。
“该组织在 2024 年中期利用大量掩护人物进行网络信息行动的过程中展示了新的间谍手段,其中包括在 2024 年夏季奥运会期间发生的针对 2024 年夏季奥运会的多次网络行动,其中包括对法国商业广告的妥协动态显示提供商”,根据咨询。
ASA、美国联邦调查局 (FBI)、财政部和以色列国家网络管理局表示,还窃取了 IP 摄像头的内容,并使用 Remini AI Photo Enhancer、Voicemod 和 Murf AI 等人工智能 (AI) 软件语音调制和用于图像生成的 Appy Pie传播宣传。
该威胁行为者被评估为伊朗伊斯兰革命卫队 (IRGC) 的一部分,以其在伊朗伊斯兰革命卫队 (IRGC) 下的网络和影响力行动而闻名。角色Al-Toufan、Anzu Team、Cyber Cheetahs、Cyber Flood、For Humanity、Menelaus 和 Market of Data 等。
新观察到的策略之一涉及使用虚构的托管经销商为其自身目的以及为黎巴嫩的某个行为者提供运营服务器基础设施来托管哈马斯附属网站(例如 alqassam[.]ps)。
这些机构表示:“大约自 2023 年中期以来,ASA 已使用多家覆盖托管提供商进行基础设施管理和混淆。”“这两个提供商是‘Server-Speed’ (server-speed[.]com) 和‘VPS-Agent’ (vps-agent[.]net)。”
“ASA 建立了自己的经销商,并从欧洲提供商那里采购了服务器空间,包括立陶宛的 BAcloud 和 Stark Industries Solutions/PQ Hosting(分别位于英国和摩尔多瓦)。然后,ASA 利用这些覆盖经销商来为其自己的网络参与者提供运营服务器以进行恶意网络活动。”
针对未透露姓名的法国商业显示器提供商的攻击发生于 2024 年 7 月,使用 VPS 代理基础设施。它试图展示批评以色列运动员参加 2024 年奥运会和残奥会的蒙太奇照片。
此外,据称,2023 年 10 月上旬以色列与哈马斯战争后,ASA 试图以 Contact-HSTG 身份联系以色列人质的家人,并发送可能“造成额外心理影响并造成进一步创伤”的信息。
该威胁行为者还与另一个名为“网络法院”的角色有联系,该角色在 Telegram 频道和为此目的设立的专用网站(“cybercourt[.]io”)上推动了几个由自己运营的掩护黑客活动组织的活动。。
在美国纽约南区检察官办公室 (SDNY) 和 FBI 采取联合执法行动后,vps-agent[.]net 和 cybercourt[.]io 这两个域名均已被查封。
这还不是全部。战争爆发后,据信 ASA 一直在努力枚举和获取以色列、加沙和伊朗 IP 摄像机的内容,并通过以下网站收集有关以色列战斗机飞行员和无人机 (UAV) 操作员的信息knowem.com、facecheck.id、socialcatfish.com、ancestry.com 和 familysearch.org。
与此同时,美国国务院宣布悬赏高达 1000 万美元,奖励那些能够查明与 IRGC 相关的黑客组织 Shahid Hemmat 有关的人员的身份或行踪的信息,该组织针对美国关键基础设施进行攻击。
“沙希德·赫马特与针对美国国防工业和国际运输部门的恶意网络行为者有联系,”它说。
“作为 IRGC-CEC [网络电子司令部] 的组成部分,Shahid Hemmat 与其他 IRGC-CEC 相关个人和组织有联系,包括:Mohammad Bagher Shirinkar、Mahdi Lashgarian、Alireza Shafie Nasab 以及幌子公司 Emennet Pasargad、Dadeh AfzarArman (DAA) 和 Mehrsam Andisheh Saz Nik (MASN)。”