T1566

فیشینگ

Phishing

توضیحات

مهاجمان پیام‌های الکترونیکی فریبنده ارسال می‌کنند تا قربانیان را وادار به اجرای کد مخرب، ارائه اعتبارنامه یا نصب بدافزار کنند. فیشینگ می‌تواند هدفمند (spearphishing) یا غیرهدفمند باشد. این تکنیک یکی از رایج‌ترین روش‌های دسترسی اولیه است و از مهندسی اجتماعی برای فریب کاربران استفاده می‌کند.

زیرتکنیک‌ها (4)

شناسهنام

T1566.001

پیوست فیشینگ هدفمندSpearphishing Attachment

مهاجمان ایمیل‌های هدفمند حاوی پیوست‌های مخرب ارسال می‌کنند. پیوست‌ها ممکن است فایل‌های Office با ماکرو، PDF های مخرب، فایل‌های آرشیو حاوی اجرایی، یا سایر فرمت‌های فایل باشند. مهاجمان اغلب از مهندسی اجتماعی برای متقاعد کردن قربانی به باز کردن پیوست استفاده می‌کنند.

T1566.002

لینک فیشینگ هدفمندSpearphishing Link

مهاجمان ایمیل‌های هدفمند حاوی لینک‌های مخرب ارسال می‌کنند. این لینک‌ها قربانی را به صفحات فیشینگ، صفحات دانلود بدافزار یا صفحاتی که از آسیب‌پذیری‌های مرورگر سوءاستفاده می‌کنند هدایت می‌کنند. مهاجمان اغلب از URL shortener یا دامنه‌های مشابه دامنه‌های قانونی استفاده می‌کنند.

T1566.003

فیشینگ از طریق سرویس‌های شخص ثالثSpearphishing via Service

مهاجمان از سرویس‌های شخص ثالث مانند LinkedIn، Twitter، WhatsApp، Telegram یا سایر پلتفرم‌های پیام‌رسانی برای ارسال پیام‌های فیشینگ استفاده می‌کنند. این روش فیلترهای ایمیل سازمانی را دور می‌زند و از اعتبار پلتفرم‌های قانونی بهره می‌برد. مهاجمان اغلب از حساب‌های جعلی یا به خطر افتاده استفاده می‌کنند.

T1566.004

فیشینگ صوتیSpearphishing Voice

مهاجمان از تماس‌های تلفنی یا پیام‌های صوتی برای فریب قربانیان و دسترسی به سیستم‌ها استفاده می‌کنند. این تکنیک که به vishing معروف است، شامل جعل هویت پشتیبانی IT، مدیران یا سایر افراد مورد اعتماد است. مهاجمان ممکن است قربانیان را وادار کنند نرم‌افزار دسترسی از راه دور نصب کنند، اعتبارنامه ارائه دهند یا MFA را تأیید کنند.

روش‌های شناسایی

تحلیل محتوای ایمیل با فیلترهای پیشرفته. اسکن پیوست‌ها و لینک‌ها در sandbox. پایش رفتار غیرعادی کاربر پس از باز کردن ایمیل. استفاده از DMARC، DKIM و SPF. آموزش کارمندان برای شناسایی فیشینگ.

روش‌های مقابله

پیاده‌سازی DMARC، DKIM و SPF. استفاده از فیلترهای ایمیل پیشرفته و sandbox. آموزش آگاهی امنیتی کارمندان. استفاده از MFA. محدودسازی اجرای ماکرو در Office. پیاده‌سازی URL filtering.

گروه‌های تهدید (4)

شناسهنام گروه

G0016

APT29 — Cozy Bear

APT29 یک گروه تهدید پیشرفته مرتبط با سرویس اطلاعات خارجی روسیه (SVR) است. این گروه از سال ۲۰۰۸ فعال بوده و به حملات پیچیده علیه دولت‌ها، سازمان‌های دیپلماتیک، اندیشکده‌ها و ارائه‌دهندگان فناوری در سراسر جهان شناخته می‌شود. این گروه در حمله زنجیره تأمین SolarWinds در سال ۲۰۲۰ نقش داشته است.

نام‌های دیگر: خرس آرام، The Dukes، Midnight Blizzard

G0007

APT28 — Fancy Bear

APT28 یک گروه تهدید پیشرفته مرتبط با اطلاعات نظامی روسیه (GRU) است. این گروه از سال ۲۰۰۴ فعال بوده و به حملات علیه سازمان‌های سیاسی، نظامی، رسانه‌ای و سازمان‌های بین‌المللی شناخته می‌شود. دخالت در انتخابات ریاست‌جمهوری آمریکا در ۲۰۱۶ از مشهورترین عملیات این گروه است.

نام‌های دیگر: خرس تزئینی، Sofacy، Pawn Storm

G0003

گروه لازاروس

گروه لازاروس یک گروه تهدید پیشرفته مرتبط با کره شمالی است که از سال ۲۰۰۹ فعال می‌باشد. این گروه به انگیزه‌های مالی و جاسوسی عملیات گسترده‌ای انجام داده از جمله حمله به بانک مرکزی بنگلادش، حمله WannaCry و سرقت‌های گسترده ارز دیجیتال.

نام‌های دیگر: لازاروس، Hidden Cobra، Zinc

G0064

APT33 — Elfin

APT33 یک گروه تهدید پیشرفته مرتبط با ایران است که از سال ۲۰۱۳ فعال می‌باشد. این گروه صنایع هوافضا، انرژی و پتروشیمی در عربستان سعودی، آمریکا و کره جنوبی را هدف قرار داده است.

نام‌های دیگر: الفین، Refined Kitten، Magnallium

نرم‌افزارها و ابزارها (1)

شناسهنام

S002

کیت فیشینگ مهتاب

کیت فیشینگ تحت وب

مجموعه‌ای از قالب‌های آماده برای سرقت اعتبارنامه‌های ایمیل و شبکه‌های اجتماعی.