مطالب پربازدید

1404/09/11 - 08:18- تروریسم سایبری

آماده‌سازی رژیم صهیونیستی در حوزه فناوری برای جنگ احتمالی بعدی با ایران

رژیم صهیونیستی در حال آماده‌سازی طیف جدیدی از سلاح‌ها و فناوری‌های جدید برای جنگ بعدی با ایران است.

1404/10/01 - 10:44- جنگ سایبری

هشدار روزنامه اسرائیلی درباره جنگ سایبری با ایران

روزنامه اسرائیلی معاریو پس از یک سری حملات هکری علیه شخصیت‌های ارشد سیاسی و نهادهای دولتی، درباره جنگ سایبری با ایران و تشدید نفوذها هشدار داد.

1404/09/24 - 10:47- تروریسم سایبری

هشدار رژیم صهیونیستی درمورد حملات سایبری نگران‌کننده ایران

مدیرکل اداره ملی سایبری رژیم صهیونیستی درمورد حملات ایران و احتمال جنگ سایبری هولناک هشدار داد.

مهرداد دهقان

انتشار شده در تاریخ 1399/05/26 - 10:55

شناسایی گروه هکری RedCurl

کارشناسان شرکت «Group-IB» گروه هکری به نام «RedCurl» شناسایی کردند.

به گزارش کارگروه بین‌الملل سایبربان؛ کارشناسان شرکت امنیت سایبری گروپ آی‌بی در گزارشی تازه از شناسایی گروه هکری به نام ردکرل (RedCurl) خبر دادند که اقدام به جاسوسی سازمانی می‌کند.

به گفته کارشناسان این شرکت، رد کرل از سال 2018 فعالیت خود را آغاز کرده و تاکنون دست‌کم 26 حمله سایبری هدفمند به سازمان‌های تجاری، مالی، شرکت‌های مشاوره، بانک‌ها، سازمان‌های بیمه، سازمان‌های گردشگری و حقوقی در روسیه، اوکراین، انگلیس، آلمان، کانادا و نروژ تدارک دیده است.

این گروه از هکرهای روس زبان تشکیل‌شده و از ابزارهای منحصربه‌فردی استفاده می‌کند تا در سیستم‌های کاربران برای مدت طولانی ماندگاری خود را حفظ کند.

نخستین حمله معروف این گروه در ماه می 2018 رخ‌داده که در آن مهاجمان با حملات فیشینگ به اطلاعات سازمانی دسترسی پیداکرده‌اند. ایمیل‌های فیشینگ در این حمله مربوط به پاداش‌های سالیانه از سوی دپارتمان منابع انسانی بوده و حاوی امضاء، لوگو و نام دامنه جعلی شرکت بوده‌اند.

زمانی که کاربران اقدام به باز کردن اسناد پیوست پاداش کرده‌اند تروجانی که توسط گروه ردکرل از طریق مخازن ابری مشروع کنترل می‌شده، در سیستم قربانی نصب شده و با آلوده ساختن بسیاری از سیستم‌ها در شبکه قربانی پخش‌شده‌ است.

در ادامه مهاجمان اقدام به تجزیه‌وتحلیل محتوای هارددیسک‌های کاربران و سرقت اطلاعات مربوط به مکاتبات رسمی، اسناد محرمانه تجاری و داده‌های شخصی و پسورد کارکنان شرکت کرده‌اند.

اعضای رد کرل تلاش می‌کنند به اطلاعات حساب‌های کاربری ایمیل دسترسی پیداکرده و برای این کار از ابزاری به نام LaZagne که پسوردها را از حافظه و فایل‌های ذخیره‌شده در مرورگر قربانی استخراج می‌کند، استفاده می‌کنند.

رد کرل زمانی که به داده‌های لازم از این طریق دسترسی پیدا نکند، اسکریپتی به نام Windows PowerShell راه‌اندازی می‌کند که پنجره فیشینگ و بازشونده Microsoft Outlook را به نمایش درمی‌آورد و به‌محض دسترسی به ایمیل قربانی تمام اسناد موردنیاز جمع‌آوری و در مخازن ابری بارگذاری می‌شوند.

مهاجمان پس از دسترسی اولیه حدود 2 تا 6 ماه در شبکه قربانی می‌مانند و ابزارهایشان همچون تروجان «RedCurl.Dropper» به سرور فرمان به‌طور مستقیم وصل نمی‌شوند، به‌گونه‌ای که تعامل میان زیرساخت‌های قربانی و مهاجمان از طریق مخازن ابری‌ای همچون Cloudme، koofr.net و pcloud.com انجام می‌شود. همه دستورات به شکل اسکریپت‌های پاور‌شل ارسال می‌شوند تا ردکرل بتواند در برابر آنتی‌ویروس‌های قدیمی به مدت طولانی ناشناس بماند.

کارشناسان گروپ آی‌بی، 14 سازمانی را که هدف حملات ردکرل قرارگرفته‌اند، شناسایی کرده‌اند که بر اساس گزارشات منتشر شده برخی از آن‌ها چندین بار هدف حمله قرارگرفته‌اند.