Компания Mandiant опубликовала подробности контрразведывательной операции Irannexus, которая направлена на сбор данных об иранцах и внутренних угрозах, которые могут сотрудничать с разведкой и службами безопасности за рубежом, особенно в Израиле.
Irannexus APT
Мандиант считает, что эта операция проводилась от имени иранского режима, и найдено слабое совпадение с APT42, примкнувшей к Разведывательной организации КСИР Ирана. Основной метод распространения и сбора информации - использование поддельных веб-сайтов и сети аккаунтов в социальных сетях, выдававших себя за израильские рекрутинговые компании. Предполагается, что операция началась в 2017 году и продолжалась до марта 2024 года.
Контрразведывательная деятельность Ирана, такую как Irannexus, стремится вызвать интерес и заманивает пользователей, говорящих на фарси, предлагая им потенциальные рабочие места и возможность работы с израильскими организациями. Похожие поддельные веб-сайты используются для сбора личных данных пользователей. Веб-сайты распространяются через социальные сети, такие как Twitter и Virasty. Кампания Irannexus использует общие шаблоны, чтобы выдать себя за израильские рекрутинговые фирмы, такие как "Optima HR" или "Kandovan HR". Они предлагают работу в области информационной безопасности и киберконсалтинга и описывают условия сотрудничества с поддельными кадровыми фирмами.
Несмотря на его возможную связь с APT42, Mandiant не заметила связи между Irannexus и группой анализа угроз Google, занимающейся преследованием целей, связанных с выборами в США. Irannexus, вероятно, имеет свою собственную специфическую цель, сосредоточенную на сборе информации об иранцах и внутренних угрозах, а также на возможности преследования организаций и лиц, поддерживающих интересы иранского правительства в Израиле и других странах.
Mandiant принимает меры по блокировке и предотвращению контрразведывательной деятельности Irannexus и обеспечивает защиту пользователей браузеров, таких как Google Chrome. Компания продолжает работать над прекращением работы аккаунтов злоумышленников и обеспечением безопасности пользователей от этой операции. Irannexus является очередным примером контрразведывательной деятельности Ирана и его стремления к сбору информации о внутренних угрозах и лицах, сотрудничающих с противниками страны.
Indicators of Compromise
Domains
- azadijobs.me
- beparas.com
- bilal1com.com
- damavand-hr.me
- damkahill.com
- darakeh.me
- dream-jobs.org
- dream-jobs.vip
- dreamycareer.com
- dreamy-job.com
- dreamy-jobs.com
- golanjobs.me
- hat-cast.com
- irnjobs.me
- joinoptimahr.com
- jomehjob.com
- kandovani.org
- opthrltd.me
- optimac-hr.com
- optima-hr.com
- optimax-hr.com
- parasil.me
- radabala.com
- rostam-hr.vip
- salamjobs.me
- shirazicom.com
- syrtime.me
- titanium-hr.com
- topiranjobs.me
- topwor4u.com
- trnjobs.me
- vipjobsglobal.com
- wazayif-halima.com
- wazayif-halima.org
- wehatcast.com
- youna101.me
- younamesh.com
