به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این گروه که شرکت امنیت سایبری اسلواکیایی ایست (ESET) نام لانگنوزد گابلین (LongNosedGoblin) را برای آن انتخاب کرده، دستکم از سپتامبر ۲۰۲۳ فعال بوده و پس از آن شناسایی شد که این شرکت سال گذشته گونههای جدیدی از بدافزار را در شبکه یکی از دولتهای جنوبشرق آسیا کشف کرد.
آنچه لانگنوزد گابلین را از دیگر عوامل تهدید شناختهشده مرتبط با چین متمایز میکند، اتکای آن به خط مشی گروه (Group Policy) است؛ قابلیتی قانونی در ویندوز که معمولاً توسط مدیران سیستم برای اعمال سیاستها و قوانین در شبکههای بزرگ استفاده میشود.
هکرها با سوءاستفاده از این قابلیت، بدافزار را مستقر کرده و بهصورت جانبی در سامانههای هدف حرکت میکنند.
یکی از ابزارهای اصلی این گروه، بدافزاری با نام نوزی هیستوریَن (NosyHistorian) است که تاریخچه مرورگرهای گوگل کروم، مایکروسافت اج و موزیلا فایرفاکس را جمعآوری میکند.
دادههای سرقتشده سپس برای تعیین اینکه کدام قربانیان اهمیت بیشتری دارند و در کجا بدافزارهای بیشتری ــ از جمله یک درِ پشتی به نام نوزیدور (NosyDoor) ــ مستقر شود، مورد استفاده قرار میگیرد.
پژوهشگران ایست اعلام کردند:
در جریان تحقیقات اولیه ما بین ژانویه تا مارس ۲۰۲۴، قربانیان بسیاری را یافتیم که تحت تأثیر نوزی هیستوریَن قرار گرفته بودند، اما تنها بخش کوچکی از آنها به نوزیدور آلوده شده بودند. برخی نسخههای نوزیدور دارای سازوکارهای حفاظتی بودند که اجرای آن را به ماشینهای خاصی محدود میکرد؛ امری که نشاندهنده انتخاب هدفمند و دقیق قربانیان است.
به باور ایست، نوزیدور بهطور انحصاری متعلق به لانگنوزد گابلین نیست.
گونهای از این بدافزار پیشتر در حملهای علیه یک سازمان در یکی از کشورهای اتحادیه اروپا استفاده شده بود، هرچند با تاکتیکهایی متفاوت.
به گفته پژوهشگران، این همپوشانی نشان میدهد که نوزیدور ممکن است بهعنوان یک خدمت تجاری در اختیار چندین عامل همسو با چین قرار گیرد.
طبق اعلام ایست، ابزارهای دیگری که به لانگنوزد گابلین نسبت داده شدهاند شامل نوزی استیلر (NosyStealer) برای استخراج دادههای مرورگر، نوزی دانلودر (NosyDownloader) برای دریافت و اجرای محمولههای مخرب در حافظه، و نوزی لاگر (NosyLogger) بهعنوان ابزار ثبت کلیدهای فشردهشده (کیلاگر) هستند.
