En våg av DNS-kapningsattacker, som pågått i två år, har kopplats till Iran och har med stor framgång skördat inloggningsuppgifter från offer i Nordamerika, Europa, Mellanöstern och Nordafrika. Attackerna riktar sig främst mot regeringar, telekom- och internetinfrastrukturföretag, där angriparna manipulerar DNS-poster och använder bedrägliga SSL-certifikat från Let's Encrypt för att omdirigera trafik och skörda användarnamn och lösenord. Forskare från FireEye bedömer med måttlig säkerhet att aktiviteten utförs av Iran-baserade cyber-spionageaktörer, baserat på användningen av iranska IP-adresser och måltavlor som Mellanösterns regeringar. Kampanjen visar en fortsatt utveckling av taktiker från Iran-baserade aktörer och har överlappningar med tidigare kampanjer som rapporterats av Cisco Talos. För att förhindra attacker rekommenderas flerfaktorsautentisering på domänens administrationsportaler, validering av ändringar i DNS A- och NS-poster samt att söka efter och återkalla skadliga certifikat.