مطالب پربازدید

1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

1404/08/05 - 14:27- جنگ سایبری

اسرار نظامی و اطلاعات سری پدافند لیزری اسرائیل به دست هکرها افتاد

گروه هکری جبهه پشتیبانی سایبری «الجبهة الإسناد السيبرانية» اعلام کرد که با نفوذ به شرکت نظامی مایا، به اطلاعات محرمانه پدافند پیشرفته لیزری Iron Beam و تعداد زیادی از سلاح‌های پیشرفته اسرائیل دست یافته است.

1404/08/04 - 13:09- جنگ سایبری

افشای اطلاعات حساس وزارت جنگ رژیم صهیونیستی توسط گروه هکری جبهه پشتیبانی سایبری

گروه هکری «الجبهة الإسناد السيبرانية» با نفوذ به شرکت پوششی «مایا» وابسته به وزارت دفاع رژیم صهیونیستی، اطلاعات محرمانه‌ای از پروژه‌های نظامی این رژیم از جمله سامانه دفاع لیزری، پهپاد و موشک‌ها را فاش کرد.

سما سمیعیان

انتشار شده در تاریخ 1401/12/20 - 11:22

استفاده از درب پشتی WhiskerSpy در آخرین حملات سایبری گروه هکری Earth Kitsune

گروه جاسوسی سایبری «Earth Kitsune» درب پشتی «WhiskerSpy» را در آخرین حملات سایبری به کار می‌گیرد.

به گزارش کارگروه بین‌الملل سایبربان؛ کارشناسان اعلام کردند که عامل تهدید جاسوسی سایبری که به عنوان «Earth Kitsune» شناخته می‌شود، در پشتی جدیدی به نام «WhiskerSpy»را به عنوان بخشی از یک کمپین مهندسی اجتماعی مستقر می‌کند.

Earth Kitsune، که حداقل از سال 2019 فعال است، عمدتاً افراد علاقه‌مند به کره شمالی را با بدافزارهای خودتوسعه یافته مانند «dneSpy» و «agfSpy» هدف قرار می‌دهد. نفوذهای مستند شده قبلی مستلزم استفاده از حفره‌های آبی است که از سوءاستفاده مرورگر در گوگل کروم (Google Chrome) و اینترنت اکسپلورر برای فعال کردن زنجیره آلودگی استفاده می‌کند.

براساس گزارش جدیدی از شرکت امنیت سایبری ترند میکرو (Trend Micro)، عامل متمایز کننده در آخرین حملات، تغییر به مهندسی اجتماعی برای فریب کاربران برای بازدید از وب‌سایت‌های در معرض خطر مرتبط با کره شمالی است.

این شرکت امنیت سایبری گفت که وب‌سایت یک سازمان ناشناس طرفدار کره شمالی هک و برای توزیع ایمپلنت WhiskerSpy اصلاح شده است. این تهدید سایبری در پایان سال گذشته کشف شد.

محققان جوزف سی چن (Joseph C Chen) جارومیر هورجسی (Jaromir Horejsi) توضیح دادند :

«وقتی یک بازدیدکننده هدفمند سعی می‌کند ویدیوها را در وب‌سایت تماشا کند، یک اسکریپت مخرب که از سوی مهاجم تزریق می‌شود، پیامی را نمایش می‌دهد که قربانیان را با خطای کدک ویدیویی مطلع می‌کند تا آنها را ترغیب به نصب و دانلود یک نصب‌کننده کدک تروجانیزه کنند.»

گفته می‌شود که اسکریپت بمب‌گذاری شده به صفحات ویدیویی وب‌سایت تزریق و سپس از نصب‌کننده (Codec-AVC1.msi) برای بارگیری WhiskerSpy استفاده شده است.

اما این حمله همچنین ترفندهای هوشمندانه‌ای را در تلاش برای دور زدن شناسایی نشان می‌دهد که شامل تحویل اسکریپت مخرب فقط به بازدیدکنندگانی است که آدرس آی‌پی (IP) آنها با معیارهای خاصی مطابقت دارد.

یک زیرشبکه آدرس آی‌پی واقع در شنیانگ، چین
یک آدرس آی‌پی خاص واقع در ناگویا، ژاپن
یک زیرشبکه آدرس آی‌پی واقع در برزیل

ترند میکرو اشاره کرد که آدرس‌های آی‌پی مورد هدف در برزیل متعلق به یک سرویس وی‌پی‌ان (VPN) تجاری است و عامل تهدید ممکن است از این سرویس وی‌پی‌ان برای آزمایش استقرار حملات خود استفاده کرده باشد.

پایداری با سوءاستفاده از آسیب‌پذیری ربودن پیوند دینامیک کتابخانه (DLL) در «OneDrive» یا از طریق یک برنامه افزودنی مخرب گوگل کروم که از «API»های پیام‌رسان بومی برای اجرای بارگیری هر بار که مرورگر وب راه‌اندازی می‌شود، به دست می‌آید.

درپشتی WhiskerSpy، مانند سایر بدافزارها در نوع خود، دارای قابلیت‌هایی برای حذف، شمارش، دانلود و آپلود فایل‌ها، گرفتن اسکرین‌شات، تزریق کد پوسته و بارگیری فایل‌های اجرایی دلخواه است.

محققان اظهار داشتند که Earth Kitsune در توانایی‌های فنی خود مهارت دارند و به طور مداوم در حال توسعه ابزارها، تاکتیک‌ها و رویه های خود هستند.

به گفته کارشناسان، «Earth Yako»، به بخش‌های دانشگاهی و تحقیقاتی در ژاپن حمله می‌کند؛ و Earth Kitsune تنها عامل تهدید کننده‌ای نیست که به دنبال اهداف ژاپنی می‌رود، زیرا شرکت امنیت سایبری همچنین مجموعه نفوذ دیگری را با نام Earth Yako به سازمان‌های تحقیقاتی و اتاق‌های فکر در این کشور مورد حمله قرار می‌دهد.

این فعالیت، که اخیراً در ژانویه 2023 مشاهده شد، ادامه یک کمپین شناخته شده قبلی است که به عنوان عملیات «RestyLink» شناخته می‌شود. زیرمجموعه‌ای از این حملات همچنین نهادهای واقع در تایوان را هدف قرار دادند.

ترند میکرو با اشاره به روش عملیات Earth Yako برای تغییر فعال اهداف و روش‌ها، گفت :

«مجموعه نفوذ ابزارها و بدافزارهای جدیدی را در مدت زمان کوتاهی معرفی کرد و به طور مکرر اهداف حمله خود را تغییر و گسترش داد.»

نقطه شروع، یک ایمیل اسپیر فیشینگ است که به عنوان دعوت به رویدادهای عمومی ظاهر می‌شود. این پیام‌ها حاوی یک «URL» مخرب هستند که به یک محموله اشاره می‌کند که به نوبه خود مسئول بارگیری بدافزار روی سیستم است.

این حملات همچنین با مجموعه‌ای از ابزارهای سفارشی شامل قطره‌چکان (PULink)، لودر (Dulload، MirrorKey)، مرحله (ShellBox) و درب پشتی (PlugBox، TransBox) مشخص می‌شوند.

PlugBox، ShellBox، و TransBox، همانطور که از نامشان پیداست، از APIهای «Dropbox» برای بازیابی بدافزارهای مرحله بعدی از یک سرور راه دور که در مخزن «GitHub» به صورت رمزگذاری شده سخت است، استفاده، دستورات را دریافت و داده‌ها را جمع‌آوری و استخراج می‌کنند.

منشأ دقیق Earth Yako ناشناخته است، اما به گفته ترند میکرو، همپوشانی‌های فنی جزئی بین گروه و سایر عوامل تهدید مانند «Darkhotel»، «APT10»، با نام مستعار «Stone Panda» و «APT29»، معروف به «Cozy Bear» یا «Nobelium»، شناسایی کرده است.

این شرکت گفت :

«یکی از ویژگی‌های حملات هدفمند اخیر این است که آنها به سمت هدف قرار دادن افرادی که در نظر گرفته می‌شوند در مقایسه با شرکت‌ها و سایر سازمان‌ها از تدابیر امنیتی نسبتاً ضعیفی برخوردار هستند، روی آورده‌اند. این تغییر به سمت هدف قرار دادن افراد بر شرکت‌ها با هدف قرار دادن و سوءاستفاده از Dropbox برجسته می‌شود، زیرا این سرویس به عنوان یک سرویس محبوب در منطقه در بین کاربران برای استفاده شخصی و نه برای سازمان‌ها در نظر گرفته می‌شود.»