مطالب پربازدید

1403/12/06 - 20:15- تروریسم سایبری

ادعای مؤسسه صهیونیستی آلما درباره واحد ۳۰۰ سازمان جنگ الکترونیک؛ پروپاگاندایی برای توجیه تجاوزات سایبری رژیم

مؤسسه تحقیقاتی اسرائیلی آلما در مقاله‌ای ادعا کرد که برخی یگان‌های ایران از جمله واحد 300 درگیر کمک‌های نظامی برای احیای حزب‌الله هستند.

1403/12/23 - 15:23- ایران

مقاله اندیشکده هندی درباره گروه هکری سایبر اونجرز

سایت هندی متخصص در زمینه سایبر به نام «TheSecMaster» مقاله‌ای جدید درمورد گروه هکری انتقام‌جویان سایبری منتشر کرد.

1403/11/17 - 09:27- تروریسم سایبری

یک اندیشکده آمریکایی حملات سایبری منتسب به ایران را اغراق‌آمیز توصیف کرد

اندیشکده FDD ادعا کرد که ایران اغلب یک بازیگر سایبری درجه دوم است که هکرهای آن به طور مرتب از عملیات‌های نفوذ فقط برای تحریک و ایجاد وحشت استفاده می‌کنند.

مهرداد دهقان

انتشار شده در تاریخ 1399/05/26 - 10:55

شناسایی گروه هکری RedCurl

کارشناسان شرکت «Group-IB» گروه هکری به نام «RedCurl» شناسایی کردند.

به گزارش کارگروه بین‌الملل سایبربان؛ کارشناسان شرکت امنیت سایبری گروپ آی‌بی در گزارشی تازه از شناسایی گروه هکری به نام ردکرل (RedCurl) خبر دادند که اقدام به جاسوسی سازمانی می‌کند.

به گفته کارشناسان این شرکت، رد کرل از سال 2018 فعالیت خود را آغاز کرده و تاکنون دست‌کم 26 حمله سایبری هدفمند به سازمان‌های تجاری، مالی، شرکت‌های مشاوره، بانک‌ها، سازمان‌های بیمه، سازمان‌های گردشگری و حقوقی در روسیه، اوکراین، انگلیس، آلمان، کانادا و نروژ تدارک دیده است.

این گروه از هکرهای روس زبان تشکیل‌شده و از ابزارهای منحصربه‌فردی استفاده می‌کند تا در سیستم‌های کاربران برای مدت طولانی ماندگاری خود را حفظ کند.

نخستین حمله معروف این گروه در ماه می 2018 رخ‌داده که در آن مهاجمان با حملات فیشینگ به اطلاعات سازمانی دسترسی پیداکرده‌اند. ایمیل‌های فیشینگ در این حمله مربوط به پاداش‌های سالیانه از سوی دپارتمان منابع انسانی بوده و حاوی امضاء، لوگو و نام دامنه جعلی شرکت بوده‌اند.

زمانی که کاربران اقدام به باز کردن اسناد پیوست پاداش کرده‌اند تروجانی که توسط گروه ردکرل از طریق مخازن ابری مشروع کنترل می‌شده، در سیستم قربانی نصب شده و با آلوده ساختن بسیاری از سیستم‌ها در شبکه قربانی پخش‌شده‌ است.

در ادامه مهاجمان اقدام به تجزیه‌وتحلیل محتوای هارددیسک‌های کاربران و سرقت اطلاعات مربوط به مکاتبات رسمی، اسناد محرمانه تجاری و داده‌های شخصی و پسورد کارکنان شرکت کرده‌اند.

اعضای رد کرل تلاش می‌کنند به اطلاعات حساب‌های کاربری ایمیل دسترسی پیداکرده و برای این کار از ابزاری به نام LaZagne که پسوردها را از حافظه و فایل‌های ذخیره‌شده در مرورگر قربانی استخراج می‌کند، استفاده می‌کنند.

رد کرل زمانی که به داده‌های لازم از این طریق دسترسی پیدا نکند، اسکریپتی به نام Windows PowerShell راه‌اندازی می‌کند که پنجره فیشینگ و بازشونده Microsoft Outlook را به نمایش درمی‌آورد و به‌محض دسترسی به ایمیل قربانی تمام اسناد موردنیاز جمع‌آوری و در مخازن ابری بارگذاری می‌شوند.

مهاجمان پس از دسترسی اولیه حدود 2 تا 6 ماه در شبکه قربانی می‌مانند و ابزارهایشان همچون تروجان «RedCurl.Dropper» به سرور فرمان به‌طور مستقیم وصل نمی‌شوند، به‌گونه‌ای که تعامل میان زیرساخت‌های قربانی و مهاجمان از طریق مخازن ابری‌ای همچون Cloudme، koofr.net و pcloud.com انجام می‌شود. همه دستورات به شکل اسکریپت‌های پاور‌شل ارسال می‌شوند تا ردکرل بتواند در برابر آنتی‌ویروس‌های قدیمی به مدت طولانی ناشناس بماند.

کارشناسان گروپ آی‌بی، 14 سازمانی را که هدف حملات ردکرل قرارگرفته‌اند، شناسایی کرده‌اند که بر اساس گزارشات منتشر شده برخی از آن‌ها چندین بار هدف حمله قرارگرفته‌اند.