Hacking
Η επανεμφάνιση του Ιρανικού Infy APT με νέα κακόβουλη δραστηριότητα
Το άρθρο αναλύει την επανεμφάνιση της ιρανικής ομάδας Infy APT με νέα κακόβουλη δραστηριότητα και τις προκλήσεις που φέρνει.
Η επιστροφή του Infy στη σκηνή του κυβερνοχώρου
Η ομάδα απειλών που είναι γνωστή ως Infy, ή αλλιώς Prince of Persia, έχει επανεμφανιστεί με νέες κακόβουλες δραστηριότητες, περίπου πέντε χρόνια μετά την τελευταία της παρατηρημένη επίθεση σε θύματα στη Σουηδία, την Ολλανδία και την Τουρκία. “Η έκταση της δραστηριότητας του Prince of Persia είναι μεγαλύτερη από ό,τι αρχικά περιμέναμε”, αναφέρει ο Tomer Bar, αντιπρόεδρος έρευνας ασφάλειας της SafeBreach, σε τεχνική ανάλυση που μοιράστηκε με το The Hacker News. “Αυτή η ομάδα απειλών είναι ακόμα ενεργή, σχετική και επικίνδυνη.”
Μια μακρόχρονη και διακριτική παρουσία
Το Infy είναι ένας από τους πιο παλιούς Advanced Persistent Threat (APT) παράγοντες που υπάρχουν, με ενδείξεις πρώιμης δραστηριότητας που χρονολογούνται από τον Δεκέμβριο του 2004, σύμφωνα με μια έκθεση της Palo Alto Networks Unit 42 τον Μάιο του 2016. Η ομάδα έχει καταφέρει να παραμείνει διακριτική, τραβώντας λιγότερη προσοχή σε σχέση με άλλες ιρανικές ομάδες όπως οι Charming Kitten, MuddyWater και OilRig. Οι επιθέσεις της ομάδας έχουν χρησιμοποιήσει δύο κύριες κακόβουλες εφαρμογές: έναν downloader και profiler θυμάτων με το όνομα Foudre, που παραδίδει ένα δεύτερο στάδιο προσβολής με το όνομα Tonnerre για την εξαγωγή δεδομένων από μηχανήματα υψηλής αξίας. Εκτιμάται ότι το Foudre διανέμεται μέσω phishing emails.
Η νέα καμπάνια και οι τεχνικές της
Οι τελευταίες ανακαλύψεις από την SafeBreach αποκάλυψαν μια κρυφή καμπάνια που στόχευσε θύματα σε Ιράν, Ιράκ, Τουρκία, Ινδία, Καναδά και Ευρώπη, χρησιμοποιώντας ενημερωμένες εκδόσεις του Foudre (έκδοση 34) και Tonnerre (εκδόσεις 12-18, 50). Η τελευταία έκδοση του Tonnerre ανιχνεύθηκε τον Σεπτέμβριο του 2025. Η αλυσίδα επιθέσεων έχει επίσης μετακινηθεί από ένα αρχείο Excel με μακροεντολές σε ενσωμάτωση εκτελέσιμου αρχείου για την εγκατάσταση του Foudre. Ίσως το πιο αξιοσημείωτο στοιχείο της μεθοδολογίας της ομάδας είναι η χρήση ενός αλγορίθμου παραγωγής domain (DGA) για την ενίσχυση της ανθεκτικότητας της υποδομής εντολών και ελέγχου (C2).
Προηγμένες τεχνικές επαλήθευσης και επικοινωνίας
Τα αρχεία Foudre και Tonnerre είναι γνωστά για την επαλήθευση αν το domain C2 είναι αυθεντικό, κατεβάζοντας ένα αρχείο υπογραφής RSA, το οποίο το κακόβουλο λογισμικό αποκρυπτογραφεί χρησιμοποιώντας ένα δημόσιο κλειδί και το συγκρίνει με ένα τοπικά αποθηκευμένο αρχείο επαλήθευσης. Η ανάλυση της SafeBreach αποκάλυψε επίσης έναν κατάλογο με το όνομα “key” που χρησιμοποιείται για την επαλήθευση C2, μαζί με άλλους φακέλους για την αποθήκευση αρχείων επικοινωνίας και εξαγόμενων αρχείων.
Γιατί έχει σημασία
Η επανεμφάνιση της ομάδας Infy υπογραμμίζει την ανθεκτικότητα και την εξελιγμένη φύση των APT απειλών. Ενώ άλλες ομάδες μπορεί να έχουν πιο εμφανή παρουσία, το Infy συνεχίζει να λειτουργεί με κρυφή και προσαρμοστική προσέγγιση, εκμεταλλευόμενο τεχνολογίες όπως το DGA και τις πλατφόρμες επικοινωνίας όπως το Telegram. Η κατανόηση αυτών των τεχνικών είναι κρίσιμη για την ανάπτυξη πιο αποτελεσματικών στρατηγικών κυβερνοάμυνας, ειδικά σε ένα τοπίο όπου οι απειλές εξελίσσονται συνεχώς.
