イランのサイバー掃討作戦を10年にわたり解体した研究者たち

パロアルトネットワークスの研究者は今年初めにこのグループの活動を紹介した。最も主なツールはInfyと呼ばれるカスタムマルウェアプログラムで、これは何年にもわたって繰り返し改良されています。

研究者は、ドメインレジストラと協力して、Infyに感染したコンピュータを制御し、あなたのWindows PCからマルウェアを削除するにはどうすればいいですか？

サーバーの制御は、ボットネットを追跡し、犠牲者に通知するためにISPや他の当事者と協力する業界団体であるShadowserver Foundationに移管された。

コマンド・アンド・コントロール（C2）インフラを保有することは、

パロアルトの研究者は、35カ国に326人のインフィ感染コンピュータがあり、その半数近くがイランにいると見ています。これは、ハッカーグループがイランの市民に焦点を当てていた可能性があり、おそらくサーベイランスの目的のためであることを示唆している。

サイバーカイマンキャンペーンに比べて犠牲者の数は比較的少ないが、 >犠牲者の約50％がInfyとInfy Mの両方に感染していました。InfyとInfy Mは、マルウェアの最新かつ有能な亜種であり、これらの犠牲者がより価値の高いターゲットであった可能性が高いことを示しています。将来新しい攻撃キャンペーンで復帰する予定ですが、インフラストラクチャを再構築することは容易ではありません。

Palo Alto Networksは、妥協とInflyサンプルハッシュの指標を共有しているため、攻撃者は残したいと思えば全面的な操作を改めなければならなくなるでしょう将来は検出されません。