انتشار شده در تاریخ 1399/05/28 - 09:24

شناسایی گروه هکری TinyScouts

کارشناسان امنیتی یک گروه هکری به نام «TinyScouts» شناسایی کردند.

به گزارش کارگروه بین‌الملل سایبربان؛ کارشناسان مرکز مانیتورینگ و واکنش به رخدادهای سایبری شرکت روس تلکام سولار روسیه (Solar JSOC) یک گروه هکری شناسایی کردند که از روش‌های پیچیده و بدافزارهای منحصربه‌فردی برای حملات سایبری استفاده می‌کند.

این گروه که تاینی‌اسکوتس (TinyScouts) نام‌گذاری شده است بانک‌ها و شرکت‌های انرژی را هدف قرار داده و اقدام به جاسوسی، سرقت اطلاعات محرمانه، اطلاعات مالی و وجه کاربران می‌کند.

تاینی‌اسکوتس در حملات خود از نرم‌افزارهای قانونی خصوصاً نرم‌افزار شرکت «Nirsoft» استفاده می‌کند که قبل از رمزگذاری داده‌ها در رایانه، کلمات عبور کاربر را از مرورگرها و کلاینت‌های ایمیل جمع‌آوری کرده و ردپایی نیز از خود برجای نمی‌گذارد، چراکه نیازی به نصب نداشته و در رجیستری سیستم‌عامل نیز حسابی ایجاد نمی‌کند.

اعضای این گروه در سیستم‌هایی که اطلاعات مهمی دارند یک برنامه مخرب نصب می‌کنند که با چندین لایه مبهم سازی و رمزگذاری محافظت می‌شود و به مهاجمان امکان دسترسی از راه دور و کنترل کامل ایستگاه کاری را می‌دهد.

ایگور زالیِفسکی (Igor Zalevsky)، مدیر بخش تحقیقات رویدادهای سایبری شرکت روس تلکام سولار در مورد گروه مذکور گفت:

TinyScouts از بدافزاری استفاده می‌کند که در خصوص روش‌های نصب و به‌کارگیری آن در منابع باز چیزی ذکرنشده و می‌توان گفت این روش‌ها متعلق به یک گروه جدید است. ترفندهای این گروه جهت ناشناس ماندن و سناریوهای مجزای آن برای حمله به یک قربانی نشان می‌دهد فراتر از یک گروهی است که فقط حملات سایبری تدارک می‌بیند. TinyScouts از گروهی که پشت حملات Silence قرار دارد، دست‌کمی ندارد و ازلحاظ فنی ارسال و نصب بدافزار در ماشین قربانی برتری دارد. اگرچه در برخی موارد نسبت به گروه‌های APT و نیروهای سایبری دولتی عملکرد ضعیفی دارد.

طبق گزارش روس تلکام سولار، مهاجمان درحملات اخیر خود به کارکنان سازمان‌ها ایمیل‌های فیشینگ حاوی لینک‌های مخرب با موضوع آغاز موج دوم پاندمی کرونا ویروس و فعالیت‌های مختلف شرکت ارسال کرده‌اند.

زمانی که کاربران روی لینک کلیک کرده‌اند پیلود‌های یک بدافزار از طریق شبکه ناشناس تور بارگیری و نصب‌شده تا اتصال با آدرس‌های آی‌پی سرورهای مهاجمان مسدود نشود.

بدافزار نصب‌شده اطلاعات مربوط به رایانه آلوده را جمع‌آوری و به سرورهای کنترل ارسال کرده است. در برخی موارد نیز هکرها ماژول‌های باج افزاری را در سیستم آلوده نصب‌کرده و با رمزگذاری تمام اطلاعات کاربر اقدام به دریافت باج کرده‌اند.