مطالب پربازدید

1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

1405/01/10 - 16:13- جنگ سایبری

بزرگ‌ترین حمله سایبری به شرکت‌های نفتی امارات

شرکت های نفتی امارات مورد حمله سایبری گروه هکری نصیر قرار گرفت

1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

کامیار عزیزی

انتشار شده در تاریخ 1405/04/07 - 14:20

شناسایی بدافزار جدید روسی توسط گوگل

پژوهشگران امنیت سایبری از شناسایی گونه‌ای جدید از بدافزار منتسب به یکی از گروه‌های شناخته‌شده جاسوسی سایبری روسیه خبر دادند.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این بدافزار، به گفته آنان طی چند سال گذشته برای جمع‌آوری اطلاعات از نهادهای دولتی و نظامی اوکراین و همچنین برخی سازمان‌های مورد توجه در اروپا مورد استفاده قرار گرفته است.

بر اساس گزارشی که روز پنجشنبه از سوی گوگل منتشر شد، بدافزار موسوم به StockStay دست‌کم از دسامبر سال ۲۰۲۲ به‌طور مستمر در حال توسعه بوده است.

به گفته پژوهشگران، هدف اصلی این بدافزار سازمان‌های دولتی و دفاعی اوکراین بوده‌اند، هرچند نمونه‌های اولیه آن در کشورهای ایتالیا، هلند، لهستان و آلمان نیز شناسایی شده است.

محققان این بدافزار را به گروه هکری تورلا (Turla) نسبت داده‌اند؛ گروهی که با نام‌های «Secret Blizzard» و «Venomous Bear» نیز شناخته می‌شود و از قدیمی‌ترین گروه‌های فعال در حوزه جاسوسی سایبری روسیه به شمار می‌رود.

بر اساس ارزیابی دولت‌های غربی و شرکت‌های امنیت سایبری، این گروه با سرویس امنیت فدرال روسیه (FSB) ارتباط دارد.

گوگل اعلام کرد StockStay از نظر ساختار کد و قابلیت‌های فنی شباهت قابل توجهی با بدافزار Kazuar دارد؛ ابزاری که پیش‌تر نیز توسط گروه تورلا در عملیات جاسوسی سایبری علیه اهداف نظامی و دفاعی اوکراین مورد استفاده قرار گرفته بود.

پژوهشگران معتقدند StockStay به‌صورت هدفمند و با الگوبرداری از Kazuar توسعه یافته و نشان‌دهنده تجربه و دانش این گروه در طراحی ابزارهای پیشرفته نفوذ سایبری است.

گوگل در بیانیه‌ای اعلام کرد:

به نظر می‌رسد این گروه با توسعه همزمان چندین زیرساخت و اکوسیستم بدافزاری، در تلاش است حتی در صورت شناسایی و خنثی‌سازی یکی از ابزارهای خود، دسترسی پایدار به اهداف را حفظ کند.

این شرکت همچنین گروه تورلا را همچنان یک تهدید فعال و مستمر در عرصه جاسوسی سایبری توصیف کرد.

بررسی‌ها نشان می‌دهد StockStay از زمان نخستین شناسایی تاکنون تغییرات قابل توجهی را پشت سر گذاشته است.

این بدافزار در ابتدا در قالب یک نرم‌افزار مرتبط با بازار بورس پنهان می‌شد، اما نسخه‌های جدید آن خود را به شکل برنامه‌های رایج و قانونی از جمله نرم‌افزارهای نمایش فایل PDF و ماشین‌حساب معرفی می‌کنند.

به گفته پژوهشگران، قربانیان معمولاً از طریق پیام‌های فیشینگ حاوی فایل‌های مخرب تنظیمات پروتکل دسکتاپ از راه دور (RDP) آلوده می‌شوند.

این فایل‌ها رایانه قربانی را به زیرساخت‌های تحت کنترل مهاجمان متصل کرده و زمینه نصب بدافزارهای تکمیلی را فراهم می‌کنند.

در این گزارش آمده است که گروه تورلا بارها از موضوعات مرتبط با مراکز دانشگاهی و نهادهای دیپلماتیک برای فریب قربانیان استفاده کرده است.

در یکی از کارزارهای شناسایی‌شده، مهاجمان با سوءاستفاده از حساب کاربری هک‌شده متعلق به یکی از دانشگاه‌های اوکراین، ایمیل‌های فیشینگ ارسال کردند.

در نمونه‌ای دیگر نیز از یک بستر آموزشی دیپلماتیک برای توزیع ایمیل‌ها و فایل‌های آلوده بهره گرفته شده است.