انتشار شده در تاریخ 1404/10/16 - 11:19

حمله هکرهای روسی به دولت اوکراین از طریق وایبر

کارشناسان ادعا کردند که هکرهای همسو با روسیه از وایبر برای هدف قرار دادن ارتش و دولت اوکراین سوءاستفاده کرده‌اند.

به گزارش کارگروه حملات سایبری سایبربان؛ بنابر ادعای کارشناسان، هکرهای همسو با روسیه، معروف به «UAC-0184»، با استفاده از پلتفرم پیام‌رسان وایبر (Viber) برای ارائه آرشیوهای زیپ مخرب، نهادهای نظامی و دولتی اوکراین را هدف قرار دادند.

مرکز اطلاعات تهدید ۳۶۰ در یک گزارش فنی اعلام کرد که این سازمان در سال ۲۰۲۵ به فعالیت‌های جمع‌آوری اطلاعات با شدت بالا علیه ادارات نظامی و دولتی اوکراین ادامه داده است.

این گروه هکری که با نام «Hive0156» نیز ردیابی می‌شود، در درجه اول به دلیل استفاده از فریب‌های با مضمون جنگ در ایمیل‌های فیشینگ برای ارائه «Hijack Loader» در حملاتی که نهادهای اوکراینی را هدف قرار می‌دهند، شناخته می‌شود. این بارگذار بدافزار متعاقباً به عنوان مسیری برای آلودگی‌های «Remcos RAT» عمل می‌کند.

هکرهای روسی برای اولین بار توسط تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA) در اوایل ژانویه ۲۰۲۴ شناسایی شدند. به گفته محققان، کمپین‌های حمله بعدی از برنامه‌های پیام‌رسان مانند سیگنال و تلگرام به عنوان وسیله‌ای برای انتقال بدافزار استفاده می‌کنند. آخرین یافته‌های این فروشنده امنیتی چینی به تکامل بیشتر این تاکتیک اشاره دارد.

زنجیره حمله شامل استفاده از وایبر به عنوان یک بردار نفوذ اولیه برای توزیع آرشیوهای زیپ مخرب حاوی چندین فایل میانبر ویندوز (LNK) است که به عنوان اسناد رسمی مایکروسافت ورد و اکسل پنهان شده‌اند تا گیرندگان را برای باز کردن آنها فریب دهند.

فایل‌های میانبر ویندوز به گونه‌ای طراحی شده‌اند که یک سند جعلی را برای قربانی ارائه دهند تا سوءظن آنها را کاهش دهند، در حالی که به طور مخفیانه Hijack Loader را در پس‌زمینه با دریافت یک آرشیو زیپ دوم (smoothieks.zip) از یک سرور از راه دور با استفاده از یک اسکریپت پاورشِل (PowerShell) اجرا می‌کنند.

این حمله Hijack Loader را از طریق یک فرآیند چند مرحله‌ای که از تکنیک‌هایی مانند بارگذاری جانبی «DLL» و استامپ ماژول برای جلوگیری از شناسایی توسط ابزارهای امنیتی استفاده می‌کند، در حافظه بازسازی و مستقر می‌کند. سپس لودر با محاسبه هش «CRC32» برنامه مربوطه، محیط را برای یافتن نرم‌افزارهای امنیتی نصب شده، مانند نرم‌افزارهای مربوط به کسپرسکی (Kaspersky)، آواست (Avast)، بیت‌دیفندر (BitDefender)، «AVG»، «Emsisoft»، وب‌روت (Webroot) و مایکروسافت، اسکن می‌کند. علاوه بر ایجاد پایداری از طریق وظایف برنامه‌ریزی‌شده، لودر قبل از اجرای مخفیانه Remcos RAT با تزریق آن به «chime.exe»، اقداماتی را برای مختل کردن تشخیص امضای استاتیک انجام می‌دهد. این ابزار مدیریت از راه دور به مهاجمان امکان مدیریت نقطه پایانی، اجرای پیلودها، نظارت بر فعالیت‌ها و سرقت داده‌ها را می‌دهد.

مرکز اطلاعات تهدید 360 ادعا کرد:

«اگرچه این ابزار به عنوان نرم‌افزار مدیریت سیستم قانونی به بازار عرضه می‌شود، اما قابلیت‌های نفوذی قدرتمند آن باعث می‌شود که توسط مهاجمان مخرب مختلف برای جاسوسی سایبری و فعالیت‌های سرقت داده‌ها مورد استفاده قرار گیرد. از طریق پنل کنترل رابط کاربری گرافیکی (GUI) ارائه شده توسط Remcos، مهاجمان می‌توانند مدیریت خودکار دسته‌ای یا عملیات تعاملی دستی دقیق را روی میزبان قربانی انجام دهند.»