مطالب پربازدید

1403/12/06 - 20:15- تروریسم سایبری

ادعای مؤسسه صهیونیستی آلما درباره واحد ۳۰۰ سازمان جنگ الکترونیک؛ پروپاگاندایی برای توجیه تجاوزات سایبری رژیم

مؤسسه تحقیقاتی اسرائیلی آلما در مقاله‌ای ادعا کرد که برخی یگان‌های ایران از جمله واحد 300 درگیر کمک‌های نظامی برای احیای حزب‌الله هستند.

1403/12/23 - 15:23- ایران

مقاله اندیشکده هندی درباره گروه هکری سایبر اونجرز

سایت هندی متخصص در زمینه سایبر به نام «TheSecMaster» مقاله‌ای جدید درمورد گروه هکری انتقام‌جویان سایبری منتشر کرد.

1403/11/17 - 09:27- تروریسم سایبری

یک اندیشکده آمریکایی حملات سایبری منتسب به ایران را اغراق‌آمیز توصیف کرد

اندیشکده FDD ادعا کرد که ایران اغلب یک بازیگر سایبری درجه دوم است که هکرهای آن به طور مرتب از عملیات‌های نفوذ فقط برای تحریک و ایجاد وحشت استفاده می‌کنند.

انتشار شده در تاریخ 1396/11/07 - 14:08

بررسی چگونگی حمله‌های سایبری گروه هکری لازاروس

گروه هکری لازاروس در حمله به بنگاه‌های اقتصادی از بدافزار منحصر به فرد استفاده می‌کند که محققان امنیتی به بررسی نحوه پیاده‌سازی این حمله پرداخته‌اند.

به گزارش کارگروه امنیت سایبربان به نقل از سکوریتی افرز (securityaffairs) ؛ محققان امنیتی ترند میکرو (Trend Micro)، به بررسی حمله‌های اخیر گروه هکری لازاروس (Lazarus) به بنگاه‌های اقتصادی پرداختند. فعالیت این گروه هکری در بین سال‌های 2014 تا 2015 میلادی، به‌صورت چشمگیری افزایش یافت؛ این گروه از بدافزارهای پیشرفته در حمله‌های خود استفاده می‌کند.

اولین فعالیت‌های گروه هکری لازاروس به سال 2009 یا حتی 2007 میلادی بازمی‌گردد. محققان امنیتی حمله به بانک‌ها ازجمله بانک بنگلادش را به لازاروس کره شمالی نسبت می‌دهند. در آخرین حمله به بنگاه‌های اقتصادی، این گروه هکری با پیاده‌سازی حمله گودال آب (Watering hole) اقدام به گسترش تروجان خود به نام RATANKBA می‌کردند.

بدافزار RATANKBA تنها یکی از بدافزارهای گروه هکری لازاروس است. این بدافزار از سال 2016 میلادی فعال بوده و در حمله‌های اخیر این گروه هکری نیز نقش داشته است. نسخه‌ای که در سال 2017 میلادی شناسایی شد به نام BKDR_RATANKBA.ZAEL–A شناخته می‌شود. این بدافزار به‌جای استفاده از روش سنتی فایل اجرایی PE از پاورشل (PowerShell) استفاده می‌کند.

محققان امنیتی دریافته‌اند این گروه هکری از سرورهایی که جاسوسان سایبری به‌صورت معمول استفاده می‌کنند، به‌منظور ذخیره موقت داده خود استفاده می‌کنند؛ هم‌چنین مشخص شده است که حدود 55 درصد قربانی‌های این گروه هکری متعلق به کشور هند و همسایه‌های آن هستند. بیشتر قربانی‌ها از نرم‌افزارهای اینترپرایز مایکروسافت استفاده نمی‌کنند و تنها حدود 5 درصد از ویندوز اینترپرایز مایکروسافت استفاده می‌کنند.

آی.پی (IP) افراد قربانی نیز بیشتر مربوط به سه شرکت بزرگ توسعه نرم‌افزاری مبتنی بر وب در کشور هند و یک شرکت در کره جنوبی است. نحوه گسترش بدافزار نیز با استفاده از فایل‌های آفیس مخرب است؛ این فایل‌ها دارای موضوعاتی مانند پول‌های مجازی و توسعه نرم‌افزاری است.

به‌منظور حفظ امنیت و گمنامی مبدأ حمله های سایبری، هیچ‌گونه ارتباط مستقیم با بدافزار توسعه داده نشده است و هکرها با استفاده از یک سرور واسط دستورها را به بدافزار ارسال کرده و بدافزار این دستورها را از سرور واسط خوانده و اجرا می‌کند. این سرور واسط دارای رابط کاربری بوده که ارتباط راحت‌تری را برای هکرها فراهم می‌کند.

محققان امنیتی معتقدند این گروه متعلق به کره شمالی بوده و از ابزارهای مختلفی به‌منظور پیشبرد هدف‌های خود استفاده می‌کند؛ استفاده از بدافزارهای پیچیده یکی از مهم‌ترین راهبردهای این گروه هکری است.