مطالب پربازدید

1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

1404/06/24 - 09:51- جنگ سایبری

نقش سرداران شهید « باقری و سلامی» در برتری قدرت سایبری ایران

رویکرد راهبردی شهیدان باقری و سلامی، نیروهای مسلح ایران را با تدوین دکترین سایبری نوآورانه به یکی از قدرت‌های سایبری تبدیل کرد.

مهرداد دهقان

انتشار شده در تاریخ 1399/05/26 - 10:55

شناسایی گروه هکری RedCurl

کارشناسان شرکت «Group-IB» گروه هکری به نام «RedCurl» شناسایی کردند.

به گزارش کارگروه بین‌الملل سایبربان؛ کارشناسان شرکت امنیت سایبری گروپ آی‌بی در گزارشی تازه از شناسایی گروه هکری به نام ردکرل (RedCurl) خبر دادند که اقدام به جاسوسی سازمانی می‌کند.

به گفته کارشناسان این شرکت، رد کرل از سال 2018 فعالیت خود را آغاز کرده و تاکنون دست‌کم 26 حمله سایبری هدفمند به سازمان‌های تجاری، مالی، شرکت‌های مشاوره، بانک‌ها، سازمان‌های بیمه، سازمان‌های گردشگری و حقوقی در روسیه، اوکراین، انگلیس، آلمان، کانادا و نروژ تدارک دیده است.

این گروه از هکرهای روس زبان تشکیل‌شده و از ابزارهای منحصربه‌فردی استفاده می‌کند تا در سیستم‌های کاربران برای مدت طولانی ماندگاری خود را حفظ کند.

نخستین حمله معروف این گروه در ماه می 2018 رخ‌داده که در آن مهاجمان با حملات فیشینگ به اطلاعات سازمانی دسترسی پیداکرده‌اند. ایمیل‌های فیشینگ در این حمله مربوط به پاداش‌های سالیانه از سوی دپارتمان منابع انسانی بوده و حاوی امضاء، لوگو و نام دامنه جعلی شرکت بوده‌اند.

زمانی که کاربران اقدام به باز کردن اسناد پیوست پاداش کرده‌اند تروجانی که توسط گروه ردکرل از طریق مخازن ابری مشروع کنترل می‌شده، در سیستم قربانی نصب شده و با آلوده ساختن بسیاری از سیستم‌ها در شبکه قربانی پخش‌شده‌ است.

در ادامه مهاجمان اقدام به تجزیه‌وتحلیل محتوای هارددیسک‌های کاربران و سرقت اطلاعات مربوط به مکاتبات رسمی، اسناد محرمانه تجاری و داده‌های شخصی و پسورد کارکنان شرکت کرده‌اند.

اعضای رد کرل تلاش می‌کنند به اطلاعات حساب‌های کاربری ایمیل دسترسی پیداکرده و برای این کار از ابزاری به نام LaZagne که پسوردها را از حافظه و فایل‌های ذخیره‌شده در مرورگر قربانی استخراج می‌کند، استفاده می‌کنند.

رد کرل زمانی که به داده‌های لازم از این طریق دسترسی پیدا نکند، اسکریپتی به نام Windows PowerShell راه‌اندازی می‌کند که پنجره فیشینگ و بازشونده Microsoft Outlook را به نمایش درمی‌آورد و به‌محض دسترسی به ایمیل قربانی تمام اسناد موردنیاز جمع‌آوری و در مخازن ابری بارگذاری می‌شوند.

مهاجمان پس از دسترسی اولیه حدود 2 تا 6 ماه در شبکه قربانی می‌مانند و ابزارهایشان همچون تروجان «RedCurl.Dropper» به سرور فرمان به‌طور مستقیم وصل نمی‌شوند، به‌گونه‌ای که تعامل میان زیرساخت‌های قربانی و مهاجمان از طریق مخازن ابری‌ای همچون Cloudme، koofr.net و pcloud.com انجام می‌شود. همه دستورات به شکل اسکریپت‌های پاور‌شل ارسال می‌شوند تا ردکرل بتواند در برابر آنتی‌ویروس‌های قدیمی به مدت طولانی ناشناس بماند.

کارشناسان گروپ آی‌بی، 14 سازمانی را که هدف حملات ردکرل قرارگرفته‌اند، شناسایی کرده‌اند که بر اساس گزارشات منتشر شده برخی از آن‌ها چندین بار هدف حمله قرارگرفته‌اند.