مطالب پربازدید

1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

1404/06/24 - 09:51- جنگ سایبری

نقش سرداران شهید « باقری و سلامی» در برتری قدرت سایبری ایران

رویکرد راهبردی شهیدان باقری و سلامی، نیروهای مسلح ایران را با تدوین دکترین سایبری نوآورانه به یکی از قدرت‌های سایبری تبدیل کرد.

سما سمیعیان

انتشار شده در تاریخ 1401/07/30 - 14:09

ادعای شرکت سایبری اسرائیلی در مورد تهدید گروه‌های باج‌افزاری چین

شرکت سایبری اسرائیلی 2 گروه باج‌افزاری را به «Emperor Dragonfly» مرتبط کرد.

به گزارش کارگروه بین‌الملل سایبربان؛ سیگنیا (Sygnia)، شرکت مشاور امنیت سایبری و پاسخگویی به حوادث مستقر در سرزمین‌های اشغالی، اوایل ماه جاری گزارش جدیدی منتشر کرد که نشان می‌دهد حملات گروه‌های باج‌افزاری «Night Sky» و «Cheerscrypt» از یک عامل تهدید مشترک نشأت گرفته شرکت اسرائیلی آن را «Emperor Dragonfly» نامید. این ادعا تأییدی بر روش‌های جدیدتر مورد استفاده بازیگران تهدید صنعت است تا به عنوان چندین گروه کوچک‌تر ظاهر شوند و از کشف جلوگیری شود.

«Cheerscrypt»، تیم «IR» سیگنیا، در حین بررسی یک حادثه مربوط به گروه باج‌افزاری عمدتاً ناشناخته متوجه شد که تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTP) مورد استفاده به شدت شبیه گروه‌های باج‌افزار شناخته‌شده دیگر، Night Sky، است.

این واقعیت که شاخص‌های سازش (IOC) گروه Night Sky شناسایی شدند، اما باج‌افزار Cheerscrypt مستقر شد، تیم IR سیگنیا را بر آن داشت تا عمیق‌تر در ریشه Cheerscrypt بپردازند. در نتیجه، شرکت اسرائیلی مدعی شد که Cheerscrypt مانند Night Sky، خانواده باج‌افزاری دیگری است که به‌وسیله Emperor Dragonfly توسعه یافته است.

در ماه ژانویه 2022، عوامل تهدید با استفاده از آسیب‌پذیری «Log4Shell»، سرور «VMware Horizon» را به خطر انداختند. از اینجا، عوامل تهدید جای پای خود را در شبکه افزایش دادند و با اجرای کد از راه دور و استقرار «Cobalt Strike Beacons» به سمت جانبی حرکت کردند.

پس از چند ماه توقف، عوامل تهدید از ابزار خط فرمان منبع باز «Rclone» برای استخراج اطلاعات حساس به سرویس ذخیره‌سازی ابری و تحویل محموله نهایی استفاده کردند : باج‌افزار Cheerscrypt. اگرچه اکثر نشریات، Cheerscrypt را به عنوان یک خانواده باج‌افزاری مبتنی بر لینوکس توصیف می‌کنند که سرورهای «ESXi» را هدف قرار می‌دهد، اما سیگنیا معتقد است که ماشین‌های ویندوز و ESXi هر 2 رمزگذاری شده بودند.

برخلاف دیگر گروه‌های باج‌افزاری، Emperor Dragonfly، که با نام «DEV-0401/BRONZESTARLIGHT» نیز شناخته می‌شود، در مدل وابسته عمل نمی‌کند و از خرید دسترسی اولیه از سایر عوامل تهدید خودداری می‌کند. درعوض، این گروه تمام مراحل چرخه حیات حمله را به تنهایی مدیریت می‌کند.

شرکت اسرائیلی ادعا کرد که این گروه همچنین هر چند ماه یک بار بارهای باج‌افزار خود را تغییر نام می‌دهد، که به آنها کمک می‌کند برخلاف سایر گروه‌های بدنامی که برای ایجاد شهرت خود فعالیت دارند، زیر رادار بمانند. و علی‌رغم اینکه Cheerscrypt خود را طرفدار اوکراین معرفی می‌کرد، در طول این حادثه، عوامل تهدید ابزارهای منبع باز را که از سوی توسعه‌دهندگان چینی برای کاربران چینی نوشته شده بود، به کار گرفتند، که ادعاهای قبلی مبنی بر اینکه اپراتورهای Emperor Dragonfly در چین مستقر هستند را تقویت کرد.

آمنون کوشنیر (Amnon Kushnir)، سرپرست تیم واکنش و شکار تهدید در سیگنیا گفت :

«در دنیای باج‌افزارهای وابسته و کد منبع باج‌افزار فاش شده، اتصال 2 نوع باج‌افزار با یک عامل تهدید، اغلب دشوار است. این کشف برای کمک به مشتریان ما در جستجوی بهتر شبکه‌های خود با هدف یافتن ردپای گروه تهدید در چشم‌اندازی که به سرعت در حال تغییر است و همچنین دفاع بهتر از سیستم‌های خود در برابر امپراتور دراگون‌فلای و تهدیدات مشابه، امری حیاتی است.»