مطالب پربازدید

1404/03/25 - 08:09- تروریسم سایبری

جایزه 10 میلیون دلاری برای گروه هکری نجات دهنده سامانه‌های پدافندی

ایالات متحده اخیراً با اعلام بیانیه‌ای از تعیین جایزه 10 میلیون دلاری برای مرموزترین دشمن سایبری خود به نام مِستر سول خبر داد.

1404/02/21 - 07:21- تروریسم سایبری

پیشنهاد رئیس سابق اداره ملی سایبری رژیم صهیونیستی درمورد ایران

رئیس سابق اداره سایبری ملی رژیم صهیونیستی گفت که این رژیم باید یک پیمان دفاع سایبری علیه ایران تشکیل دهد.

1404/02/18 - 17:04- فناوری اطلاعات

نگاهی به فصل هفتم سریال آینه سیاه(Black Mirror)

انتشار شده در تاریخ 1398/08/18 - 13:56

شناسایی گروه جدید هکری DarkUniverse

کارشناسان امنیتی گروه هکری جدیدی به نام «DarkUniverse» شناسایی کرده‌اند که سازمان‌های نظامی را هدف قرار می‌دهد.

به گزارش کارگروه حملات سایبری سایبربان؛ به‌تازگی کارشناسان آزمایشگاه کسپرسکی گروه هکری جدیدی به نام دارک یونیورس (DarkUniverse) شناسایی کرده‌اند که سازمان‌های نظامی و غیرنظامی را در کشورهای سوریه، ایران، افغانستان، تانزانیا، اتیوپی، سودان، روسیه، بلاروس و امارات متحده عربی هدف قرار داده است. به گفته کارشناسان این آژمایشگاه، گروه جرائم سایبریThe ShadowBrokers در سال 2017 آرشیوی از بدافزار و ابزارهای هکری منتشر کرد که از گروه Equation Group متعلق به آژانس امنیت ملی ایالات‌متحده آمریکا به سرقت برده بود. این آرشیو همچنین حاوی اسکریپتی بود که راه را برای شناسایی نوعی از گروه ای‌پی‌تی به نام دارک یونیورس هموار کرد. طبق گزارشات آزمایشگاه، این گروه به مدت 8 سال از 2009 تا 2017 فعال بوده و از طریق کمپین‌های مخرب ItaDuke، اکسپلویت‌های روز صفر و آسیب‌پذیری‌های اسناد پی‌دی‌اف، اقدام به نفوذ برنامه های مخرب کرده و از حساب‌های کاربری توییتر نیز جهت ذخیره آدرس‌های URL و سرور C&C سوء‌استفاده کرده است.

گروه دارک یونیورس جهت توزیع برنامه‌های مخرب از حملات فیشینگ هدفمند استفاده کرده و برای هر قربانی یک ایمیل مجزا به‌منظور جلب‌توجه آن و یا واداشتن آن به باز کردن سند پیوست مخرب مایکروسافت آفیس اختصاص داده است. هر نمونه بدافزار بلافاصله پیش از ارسال، کامپایل شده و حاوی آخرین نسخه فایل اجرایی بدافزار است. بدافزارهای موجود در اسناد شامل دو ماژول مخرب آپدیترماد (Updater.mod) و glue30.dll هستند که اولی مسئولیت برقراری ارتباط با سرور کنترل و فرمان (C&C)، ماندگاری برنامه‌های مخرب و نیز هدایت دیگر ماژول‌های مخرب را بر عهده داشته و دومی به‌عنوان کی‌لاگر عمل می‌کند. ماژول آپدیترماد تعدادی ماژول اضافی را من‌جمله dfrgntfs5.sqt جهت اجرای دستورات سرور C&C، ماژول msvcrt58.sqt جهت سرقت اعتبارنامه‌ها و محتوای پست‌های الکترونیکی و zl4vq.sqt به‌عنوان کتابخانه مجاز zlib و مورداستفاده توسط ماژول dfrgntfs5 و %tims_ID%.upe.upe به‌عنوان پلاگین اضافی برای dfrgntfs5 بارگذاری می‌کند.

ماژول مخرب glue30.dll اقدام به کی‌لاگینگ کرده و اطلاعات تایپ‌شده توسط کاربر را سرقت می‌کند. ماژول آپدیترماد همچنین از عملکرد SetWindowsHookExW Win API جهت ردیابی و ذخیره کلیدهای فشرده‌شده بر روی صفحه‌کلید و اجرای glue30.dll در فرآیندهایی دریافت اطلاعات واردشده از صفحه‌کلید استفاده می‌کند. ماژول msvcrt58.sqt ترافیک رمزگذاری نشده مربوط به پروتکل POP3 را جهت جمع‌آوری پیام‌های ایمیل و داده‌های حساب‌های کاربری قربانی، سرقت و تحلیل کرده و نتیجه را به ماژول اصلی یعنی آپدیترماد جهت بارگذاری در سرور کنترل و فرمان ارسال می‌کند. ماژول dfrgntfs5.sqt نیز کاربردی‌ترین ابزار گروه دارک یونیورس است که فهرست عظیمی از دستورات سرور کنترل و فرمان را پردازش می‌کند.