مطالب پربازدید

1403/12/06 - 20:15- تروریسم سایبری

ادعای مؤسسه صهیونیستی آلما درباره واحد ۳۰۰ سازمان جنگ الکترونیک؛ پروپاگاندایی برای توجیه تجاوزات سایبری رژیم

مؤسسه تحقیقاتی اسرائیلی آلما در مقاله‌ای ادعا کرد که برخی یگان‌های ایران از جمله واحد 300 درگیر کمک‌های نظامی برای احیای حزب‌الله هستند.

1403/12/23 - 15:23- ایران

مقاله اندیشکده هندی درباره گروه هکری سایبر اونجرز

سایت هندی متخصص در زمینه سایبر به نام «TheSecMaster» مقاله‌ای جدید درمورد گروه هکری انتقام‌جویان سایبری منتشر کرد.

1403/11/17 - 09:27- تروریسم سایبری

یک اندیشکده آمریکایی حملات سایبری منتسب به ایران را اغراق‌آمیز توصیف کرد

اندیشکده FDD ادعا کرد که ایران اغلب یک بازیگر سایبری درجه دوم است که هکرهای آن به طور مرتب از عملیات‌های نفوذ فقط برای تحریک و ایجاد وحشت استفاده می‌کنند.

دانیال مشتاق

انتشار شده در تاریخ 1400/12/02 - 11:00

پرده برداری پروف پوینت از بدافزار جدید گروه هکری موش صحرایی

شرکت صهیونیستی پروف پوینت طی گزارشی از بدافزار جدید گروه هکری همسو با فلسطین Molerats به نام نیمبل مامبا پرده برداری کرد.

به گزارش کارگروه حملات سایبری سایبربان؛ شرکت امنیت سایبری اسرائیلی پروف پوینت مدعی است گروه هکری همسو با فلسطین TA402 یا Molerats (موش صحرایی) ایمپلنت جدیدی به نام نیمبِل مامبا را در یک کمپین جاسوسی سایبری مورد استفاده قرار داده است که از ژئوفنسینگ (تعیین محدوده جغرافیایی) و URL های منتهی به وبسایت های قانونی بهره مند می باشد.

محققین پروف پوینت سه گونه مختلف از زنجیره آلودگی را مشاهده کردند که تمامی آن ها دولت های کشورهای مختلف خاورمیانه، اندیشکده های سیاست خارجه و خطوط هوایی دولتی را مورد هدف قرار می دهند.

با توجه محور زمانی حملات اخیر، بازیگران مخرب ابتدا در نوامبر 2021 از نیمبل مامبا استفاده کرده اند و این عملیات را تا اواخر ژانویه 2022 ادامه داده اند.

TA402 در اکثر حملات از ایمیل های فیشینگ هدف داری استفاده می کند که دارای لینک های منتهی به سایت های رها سازی بدافزار هستند. قربانیان بایستی در محدوده جغرافیایی هدف باشند در غیر این صورت به سایت های خبری قانونی هدایت می شوند.

در صورتی که نشانی آی پی هدف با منطقه تعریف شده هدف تطابق داشته باشد، یک کپی از نیمبل مامبا داخل یک فایل RAR بر روی سیستم قربانی رها می شود.

پروف پوینت سه زنجیره ضمیمه مختلف با تفاوت های جزئی در تم تله فیشینگ، بازهدایت URL و سایت های میزبان بدافزار را شناسایی کرده اند.

پروف پوینت معتقد است که گروه موش صحرایی نمیبل مامبا را جایگزین LastConn (لَست کان)، در پشتی و دانلود کننده بدافزاری کردند که در گزارش ژوئن 2021 همین شرکت، آن را افشا کرد.

لست کان نیز ظاهرا جایگزین شارپ استیجی شده بود که در دسامبر 2020 توسط سایبریزِن افشا شد.

گروه موش صحرایی قابلیت خود در توسعه سریع ابزار اختصاصی را نشان داده و در صورت افشای آن ها، معمولا پس وقفه ای مشخص، ابزار جدیدی را جایگزین می کند.

نیمبل مامبا بی شک برخی شباهت هایی در کد به لست کان دارد اما این موارد محدود به فاکتورهایی مانند زبان برنامه نویسی، طرح کد گذاری سرور کنترل و فرمان و استفاده از دراپ باکس API برای ارتباطات می باشند.

این ابزار جدید سیستم های ضد تحلیل پیچیده تری دارد و با استفاده از ویژگی های امنیتی متعدد از اجرا شدن بر روی ماشین های هدف اطمینان حاصل می کند.

در صورت اجرایی شدن پیش نیازها، نیمبل مامبا تنظیمات پیکربندی خود را از یک صفحه JustPaste.it بازیابی می کند. این صفحه شامل کلیدهای احراز هویت API مبهم سازی شده برای ارتباطات سرور کنترل و فرمان است.

نیمبل مامبا قابلیت های یک تروجان جمع آوری کننده اطلاعات را داراست و احتمالا به منظور دسترسی اولیه طراحی شده است.

از جمله قابلیت های آن می توان به موارد زیر اشاره کرد:

تهیه اسکرین شات
به دست آوردن اطلاعات فرآیند از کامپیوتر
شناسایی تعاملات کاربران مانند حرکت موس

این فایل های RAR تنها شامل نیمبل مامبا نیستند و مواردی تروجان بریتل باش نیز در آن مشاهده شده است که به عنوان ابزار تهیه نسخه پشتیبانی مورد استفاده قرار می گیرد.

با افشا شدن ابزار جدید موش صحرایی انتظار می رود این گروه برای مدتی بدون فعالیت باشد و در این مدت ابزار جدیدی را جایگزین نیمبل مامبا کند.

باید این نکته را در نظر گرفت که اهداف این گروه دستخوش تغییر نخواهند شد.