مطالب پربازدید

1403/12/06 - 20:15- تروریسم سایبری

ادعای مؤسسه صهیونیستی آلما درباره واحد ۳۰۰ سازمان جنگ الکترونیک؛ پروپاگاندایی برای توجیه تجاوزات سایبری رژیم

مؤسسه تحقیقاتی اسرائیلی آلما در مقاله‌ای ادعا کرد که برخی یگان‌های ایران از جمله واحد 300 درگیر کمک‌های نظامی برای احیای حزب‌الله هستند.

1403/12/23 - 15:23- ایران

مقاله اندیشکده هندی درباره گروه هکری سایبر اونجرز

سایت هندی متخصص در زمینه سایبر به نام «TheSecMaster» مقاله‌ای جدید درمورد گروه هکری انتقام‌جویان سایبری منتشر کرد.

1403/11/17 - 09:27- تروریسم سایبری

یک اندیشکده آمریکایی حملات سایبری منتسب به ایران را اغراق‌آمیز توصیف کرد

اندیشکده FDD ادعا کرد که ایران اغلب یک بازیگر سایبری درجه دوم است که هکرهای آن به طور مرتب از عملیات‌های نفوذ فقط برای تحریک و ایجاد وحشت استفاده می‌کنند.

سما سمیعیان

انتشار شده در تاریخ 1401/12/20 - 11:22

استفاده از درب پشتی WhiskerSpy در آخرین حملات سایبری گروه هکری Earth Kitsune

گروه جاسوسی سایبری «Earth Kitsune» درب پشتی «WhiskerSpy» را در آخرین حملات سایبری به کار می‌گیرد.

به گزارش کارگروه بین‌الملل سایبربان؛ کارشناسان اعلام کردند که عامل تهدید جاسوسی سایبری که به عنوان «Earth Kitsune» شناخته می‌شود، در پشتی جدیدی به نام «WhiskerSpy»را به عنوان بخشی از یک کمپین مهندسی اجتماعی مستقر می‌کند.

Earth Kitsune، که حداقل از سال 2019 فعال است، عمدتاً افراد علاقه‌مند به کره شمالی را با بدافزارهای خودتوسعه یافته مانند «dneSpy» و «agfSpy» هدف قرار می‌دهد. نفوذهای مستند شده قبلی مستلزم استفاده از حفره‌های آبی است که از سوءاستفاده مرورگر در گوگل کروم (Google Chrome) و اینترنت اکسپلورر برای فعال کردن زنجیره آلودگی استفاده می‌کند.

براساس گزارش جدیدی از شرکت امنیت سایبری ترند میکرو (Trend Micro)، عامل متمایز کننده در آخرین حملات، تغییر به مهندسی اجتماعی برای فریب کاربران برای بازدید از وب‌سایت‌های در معرض خطر مرتبط با کره شمالی است.

این شرکت امنیت سایبری گفت که وب‌سایت یک سازمان ناشناس طرفدار کره شمالی هک و برای توزیع ایمپلنت WhiskerSpy اصلاح شده است. این تهدید سایبری در پایان سال گذشته کشف شد.

محققان جوزف سی چن (Joseph C Chen) جارومیر هورجسی (Jaromir Horejsi) توضیح دادند :

«وقتی یک بازدیدکننده هدفمند سعی می‌کند ویدیوها را در وب‌سایت تماشا کند، یک اسکریپت مخرب که از سوی مهاجم تزریق می‌شود، پیامی را نمایش می‌دهد که قربانیان را با خطای کدک ویدیویی مطلع می‌کند تا آنها را ترغیب به نصب و دانلود یک نصب‌کننده کدک تروجانیزه کنند.»

گفته می‌شود که اسکریپت بمب‌گذاری شده به صفحات ویدیویی وب‌سایت تزریق و سپس از نصب‌کننده (Codec-AVC1.msi) برای بارگیری WhiskerSpy استفاده شده است.

اما این حمله همچنین ترفندهای هوشمندانه‌ای را در تلاش برای دور زدن شناسایی نشان می‌دهد که شامل تحویل اسکریپت مخرب فقط به بازدیدکنندگانی است که آدرس آی‌پی (IP) آنها با معیارهای خاصی مطابقت دارد.

یک زیرشبکه آدرس آی‌پی واقع در شنیانگ، چین
یک آدرس آی‌پی خاص واقع در ناگویا، ژاپن
یک زیرشبکه آدرس آی‌پی واقع در برزیل

ترند میکرو اشاره کرد که آدرس‌های آی‌پی مورد هدف در برزیل متعلق به یک سرویس وی‌پی‌ان (VPN) تجاری است و عامل تهدید ممکن است از این سرویس وی‌پی‌ان برای آزمایش استقرار حملات خود استفاده کرده باشد.

پایداری با سوءاستفاده از آسیب‌پذیری ربودن پیوند دینامیک کتابخانه (DLL) در «OneDrive» یا از طریق یک برنامه افزودنی مخرب گوگل کروم که از «API»های پیام‌رسان بومی برای اجرای بارگیری هر بار که مرورگر وب راه‌اندازی می‌شود، به دست می‌آید.

درپشتی WhiskerSpy، مانند سایر بدافزارها در نوع خود، دارای قابلیت‌هایی برای حذف، شمارش، دانلود و آپلود فایل‌ها، گرفتن اسکرین‌شات، تزریق کد پوسته و بارگیری فایل‌های اجرایی دلخواه است.

محققان اظهار داشتند که Earth Kitsune در توانایی‌های فنی خود مهارت دارند و به طور مداوم در حال توسعه ابزارها، تاکتیک‌ها و رویه های خود هستند.

به گفته کارشناسان، «Earth Yako»، به بخش‌های دانشگاهی و تحقیقاتی در ژاپن حمله می‌کند؛ و Earth Kitsune تنها عامل تهدید کننده‌ای نیست که به دنبال اهداف ژاپنی می‌رود، زیرا شرکت امنیت سایبری همچنین مجموعه نفوذ دیگری را با نام Earth Yako به سازمان‌های تحقیقاتی و اتاق‌های فکر در این کشور مورد حمله قرار می‌دهد.

این فعالیت، که اخیراً در ژانویه 2023 مشاهده شد، ادامه یک کمپین شناخته شده قبلی است که به عنوان عملیات «RestyLink» شناخته می‌شود. زیرمجموعه‌ای از این حملات همچنین نهادهای واقع در تایوان را هدف قرار دادند.

ترند میکرو با اشاره به روش عملیات Earth Yako برای تغییر فعال اهداف و روش‌ها، گفت :

«مجموعه نفوذ ابزارها و بدافزارهای جدیدی را در مدت زمان کوتاهی معرفی کرد و به طور مکرر اهداف حمله خود را تغییر و گسترش داد.»

نقطه شروع، یک ایمیل اسپیر فیشینگ است که به عنوان دعوت به رویدادهای عمومی ظاهر می‌شود. این پیام‌ها حاوی یک «URL» مخرب هستند که به یک محموله اشاره می‌کند که به نوبه خود مسئول بارگیری بدافزار روی سیستم است.

این حملات همچنین با مجموعه‌ای از ابزارهای سفارشی شامل قطره‌چکان (PULink)، لودر (Dulload، MirrorKey)، مرحله (ShellBox) و درب پشتی (PlugBox، TransBox) مشخص می‌شوند.

PlugBox، ShellBox، و TransBox، همانطور که از نامشان پیداست، از APIهای «Dropbox» برای بازیابی بدافزارهای مرحله بعدی از یک سرور راه دور که در مخزن «GitHub» به صورت رمزگذاری شده سخت است، استفاده، دستورات را دریافت و داده‌ها را جمع‌آوری و استخراج می‌کنند.

منشأ دقیق Earth Yako ناشناخته است، اما به گفته ترند میکرو، همپوشانی‌های فنی جزئی بین گروه و سایر عوامل تهدید مانند «Darkhotel»، «APT10»، با نام مستعار «Stone Panda» و «APT29»، معروف به «Cozy Bear» یا «Nobelium»، شناسایی کرده است.

این شرکت گفت :

«یکی از ویژگی‌های حملات هدفمند اخیر این است که آنها به سمت هدف قرار دادن افرادی که در نظر گرفته می‌شوند در مقایسه با شرکت‌ها و سایر سازمان‌ها از تدابیر امنیتی نسبتاً ضعیفی برخوردار هستند، روی آورده‌اند. این تغییر به سمت هدف قرار دادن افراد بر شرکت‌ها با هدف قرار دادن و سوءاستفاده از Dropbox برجسته می‌شود، زیرا این سرویس به عنوان یک سرویس محبوب در منطقه در بین کاربران برای استفاده شخصی و نه برای سازمان‌ها در نظر گرفته می‌شود.»