حمله سایبری به سازمانهای نظامی آمریکا
به گزارش کارگروه حملات سایبری سایبربان؛ شرکت نرمافزاری و امنیت رایانه مکآفی «McAfee» در گزارشی مدعی شد گروه لازاروس کارکنان سازمانهای هوافضا و دفاعی آمریکا را هدف قرار داده است.
در گزارش این شرکت ادعا شده است کمپین لازاروس «Operation North Star» نامگذاری شده و از اواخر ماه مارس 2020 تا ماه می ادامه داشته است.
بنابه ادعای مکآفی، مهاجمان با ارسال ایمیلهای فیشینگ حاوی اسناد مخرب فرصتهای شغلی کارکنان را تشویق میکردهاند فایلهای زیپ و .docx را که شامل چندین بخش بودهاند، باز کنند.
هکرها با بهرهگیری از تکنیک تزریق قالب (Template injection) لینکی را به یک فایل تمپلیت در یکی از فایلهای .XML قرار میدادهاند که از طریق آن فایل قالب «DOTM» از یک سرور از راه دور بارگیری میشده است.
برخی از فایلهای تمپلیت به فایلهای JPEG در سرور از راه دور تغییر نام میدادند تا مشکوک جلوه نکنند. فایلهای تمپلیت حاوی کدهای ماکرو بودهاند که به زبان ویژوال بیسیک نوشتهشده و اقدام به بارگیری فایلهای مخرب DLL در سیستم قربانی میکردهاند. این فایلهای مخرب DLL نیز اقدام به جاسوسی سایبری و جمعآوری دادههای سیستم میکردهاند.
مهاجمان در این کمپین عملکرد یوزرایجنت سیستم را نیز شبیهسازی میکردهاند تا شناسایی نشوند و با سرور کنترل و فرمان نیز ارتباط برقرار کنند.
این کمپین با بهرهگیری از زیرساختهای آلوده چندین کشور اروپایی برای استقرار زیرساختهای فرماندهی و کنترل و توزیع بدافزار در سیستمهای قربانیان انجامگرفته است.
مکآفی مدعی شد این نوع عملیات پیشازاین نیز در سال 2017 و 2019 با استفاده از روشهای مشابه باهدف جمعآوری اطلاعات فناوریهای پیشرفته نظامی و دفاعی اجراشده است.
آگهیهای شغلی از طرف پیمانکاران دفاعی مشهور در کمپین 2017 نیز مورداستفاده قرار گرفته است. اطلاعات بهدستآمده از ایمیلهای فیشینگ نشان داده این کمپین برای جمعآوری دادههای پروژههای خاص متمرکز بوده است.
طبق گزارش مکآفی، حملات 2020 شباهت بسیاری به حملات سالهای 2017 و 2019 داشته و بهنوعی ادامه حملات سال 2019 بوده است.