미국과 이스라엘의 사이버 보안 기관은 이란의 사이버 그룹이 2024년 하계 올림픽을 표적으로 삼고 이스라엘의 스포츠 행사 참여를 비난하는 메시지를 보여주기 위해 프랑스의 상업용 동적 디스플레이 공급업체를 타협했다고 비난하는 새로운 권고를 발표했습니다.
해당 활동은 Emennet Pasargad로 알려진 단체에 고정되어 있으며, 기관에 따르면 이 단체는 2024년 중반부터 Aria Sepehr Ayandehsazan(ASA)이라는 표지 이름으로 운영되어 왔습니다. Cotton Sandstorm, Haywire Kitten 및 Marnanbridge와 같은 광범위한 사이버 보안 커뮤니티에서 추적됩니다.
“그룹은 2024년 하계 올림픽 기간 동안 발생하고 이를 목표로 한 여러 사이버 작전을 포함하여 수많은 커버 페르소나를 사용하여 2024년 중반까지 사이버 지원 정보 작전을 수행하려는 노력의 일환으로 새로운 무역 기술을 선보였습니다. 여기에는 프랑스 상업 동적 디스플레이의 손상도 포함됩니다. 공급자”라고 권고에 따르면.
ASA, 미국 연방수사국(FBI), 재무부, 이스라엘 국립사이버국도 IP 카메라에서 콘텐츠를 훔쳤으며 Remini AI Photo Enhancer, Voicemod, Murf AI와 같은 인공지능(AI) 소프트웨어를 사용했다고 밝혔습니다. 음성 변조, 선전 확산을 위한 이미지 생성을 위한 Appy Pie.
이란 이슬람혁명수비대(IRGC)의 일원으로 평가된 이 위협 행위자는 Al-Toufan, Anzu Team, Cyber Cheetahs, Cyber Flood, For Humanity, Menelaus 및 Market of Data라는 페르소나를 통해 사이버 및 영향력 작전을 수행하는 것으로 알려져 있습니다. , 무엇보다도.
새로 관찰된 전술 중 하나는 자체 목적을 위해 운영 서버 인프라를 제공하기 위해 가상의 호스팅 리셀러를 사용하는 것과 하마스 관련 웹사이트(예: alqassam(.)ps)를 호스팅하기 위해 레바논의 행위자에게 사용하는 것과 관련이 있습니다.
“ASA는 대략 2023년 중반부터 인프라 관리 및 난독화를 위해 여러 커버 호스팅 제공업체를 사용해 왔습니다.”라고 기관은 말했습니다. “이 두 공급자는 ‘Server-Speed'(server-speed(.)com) 및 ‘VPS-Agent'(vps-agent(.)net)입니다.”
“ASA는 자체 리셀러를 설립하고 리투아니아 기반 회사인 BAcloud 및 Stark Industries Solutions/PQ Hosting(각각 영국과 몰도바에 위치)을 포함한 유럽 기반 제공업체로부터 서버 공간을 조달했습니다. 그런 다음 ASA는 이러한 커버 리셀러를 활용하여 다음을 수행합니다. 악의적인 사이버 활동을 위해 자체 사이버 행위자에게 운영 서버를 제공합니다.”
익명의 프랑스 상업용 디스플레이 제공업체를 향한 공격은 2024년 7월 VPS 에이전트 인프라를 사용하여 발생했습니다. 2024년 올림픽 및 장애인 올림픽에 이스라엘 선수들의 참가를 비판하는 사진 몽타주를 전시하려고 했습니다.
또한 ASA는 2023년 10월 초 이스라엘-하마스 전쟁 이후 이스라엘 인질 가족들에게 Contact-HSTG라는 이름으로 연락을 시도하고 “추가적인 심리적 영향을 미치고 추가 트라우마를 입힐” 가능성이 있는 메시지를 보내려고 시도한 것으로 알려졌습니다.
위협 행위자는 또한 Telegram 채널과 이 목적을 위해 설정된 전용 웹사이트(“cybercourt(.)io”)에서 자체적으로 운영되는 여러 커버 핵티비스트 그룹의 활동을 홍보하는 Cyber Court라는 또 다른 인물과 연결되어 있습니다. .
vps-agent(.)net 및 Cybercourt(.)io 도메인 모두 미국 뉴욕 남부 지방 검찰청(SDNY)과 FBI가 공동으로 수행한 법 집행 활동에 따라 압수되었습니다.
그게 다가 아닙니다. 전쟁 발발 후 ASA는 이스라엘, 가자, 이란의 IP 카메라에서 콘텐츠를 열거하고 획득하는 동시에 다음과 같은 사이트를 통해 이스라엘 전투기 조종사 및 무인 항공기(UAV) 운영자에 대한 정보를 수집하려는 노력을 기울인 것으로 추정됩니다. Knowem.com, Facecheck.id, socialcatfish.com, ancestry.com 및 familysearch.org.
이러한 발전은 미국 국무부가 미국의 주요 인프라를 표적으로 삼은 Shahid Hemmat라는 IRGC 관련 해킹 그룹과 관련된 사람들의 신원이나 소재를 파악하는 데 도움이 되는 정보에 대해 최대 1,000만 달러의 보상금을 발표한 가운데 이루어졌습니다.
“Shahid Hemmat는 미국 방위 산업과 국제 운송 부문을 표적으로 삼는 악의적인 사이버 행위자와 연결되어 있습니다.”라고 밝혔습니다.
“IRGC-CEC(사이버 전자 명령)의 구성 요소로서 Shahid Hemmat는 Mohammad Bagher Shirinkar, Mahdi Lashgarian, Alireza Shafie Nasab 및 위장 회사인 Emennet Pasargad, Dadeh Afzar를 포함한 다른 IRGC-CEC 관련 개인 및 조직과 연결되어 있습니다. Arman(DAA), Mehrsam Andisheh Saz Nik(MASN)입니다.”
