مطالب پربازدید

1404/02/21 - 07:21- تروریسم سایبری

پیشنهاد رئیس سابق اداره ملی سایبری رژیم صهیونیستی درمورد ایران

رئیس سابق اداره سایبری ملی رژیم صهیونیستی گفت که این رژیم باید یک پیمان دفاع سایبری علیه ایران تشکیل دهد.

1404/01/16 - 14:04- جرم سایبری

حمله سایبری آژانس‌های اطلاعاتی آمریکا علیه کاربران موبایل

یک گزارش منتشرشده توسط یک ائتلاف صنعتی چینی، فعالیت‌های نظارتی و سرقت داده‌ای آژانس‌های اطلاعاتی آمریکا را که کاربران جهانی تلفن‌های هوشمند و سامانه‌های ارتباطی را هدف قرار می‌دهد، افشا کرد.

1404/01/26 - 08:33- آمریکا

برگزاری رزمایش پاسخ هماهنگ به حمله سایبری توسط اعضای ناتو

متحدان ناتو در یک رزمایش در ماه آوریل سال جاری، پاسخ هماهنگ به حمله سایبری را تمرین کردند.

مهرداد دهقان

انتشار شده در تاریخ 1399/05/26 - 10:55

شناسایی گروه هکری RedCurl

کارشناسان شرکت «Group-IB» گروه هکری به نام «RedCurl» شناسایی کردند.

به گزارش کارگروه بین‌الملل سایبربان؛ کارشناسان شرکت امنیت سایبری گروپ آی‌بی در گزارشی تازه از شناسایی گروه هکری به نام ردکرل (RedCurl) خبر دادند که اقدام به جاسوسی سازمانی می‌کند.

به گفته کارشناسان این شرکت، رد کرل از سال 2018 فعالیت خود را آغاز کرده و تاکنون دست‌کم 26 حمله سایبری هدفمند به سازمان‌های تجاری، مالی، شرکت‌های مشاوره، بانک‌ها، سازمان‌های بیمه، سازمان‌های گردشگری و حقوقی در روسیه، اوکراین، انگلیس، آلمان، کانادا و نروژ تدارک دیده است.

این گروه از هکرهای روس زبان تشکیل‌شده و از ابزارهای منحصربه‌فردی استفاده می‌کند تا در سیستم‌های کاربران برای مدت طولانی ماندگاری خود را حفظ کند.

نخستین حمله معروف این گروه در ماه می 2018 رخ‌داده که در آن مهاجمان با حملات فیشینگ به اطلاعات سازمانی دسترسی پیداکرده‌اند. ایمیل‌های فیشینگ در این حمله مربوط به پاداش‌های سالیانه از سوی دپارتمان منابع انسانی بوده و حاوی امضاء، لوگو و نام دامنه جعلی شرکت بوده‌اند.

زمانی که کاربران اقدام به باز کردن اسناد پیوست پاداش کرده‌اند تروجانی که توسط گروه ردکرل از طریق مخازن ابری مشروع کنترل می‌شده، در سیستم قربانی نصب شده و با آلوده ساختن بسیاری از سیستم‌ها در شبکه قربانی پخش‌شده‌ است.

در ادامه مهاجمان اقدام به تجزیه‌وتحلیل محتوای هارددیسک‌های کاربران و سرقت اطلاعات مربوط به مکاتبات رسمی، اسناد محرمانه تجاری و داده‌های شخصی و پسورد کارکنان شرکت کرده‌اند.

اعضای رد کرل تلاش می‌کنند به اطلاعات حساب‌های کاربری ایمیل دسترسی پیداکرده و برای این کار از ابزاری به نام LaZagne که پسوردها را از حافظه و فایل‌های ذخیره‌شده در مرورگر قربانی استخراج می‌کند، استفاده می‌کنند.

رد کرل زمانی که به داده‌های لازم از این طریق دسترسی پیدا نکند، اسکریپتی به نام Windows PowerShell راه‌اندازی می‌کند که پنجره فیشینگ و بازشونده Microsoft Outlook را به نمایش درمی‌آورد و به‌محض دسترسی به ایمیل قربانی تمام اسناد موردنیاز جمع‌آوری و در مخازن ابری بارگذاری می‌شوند.

مهاجمان پس از دسترسی اولیه حدود 2 تا 6 ماه در شبکه قربانی می‌مانند و ابزارهایشان همچون تروجان «RedCurl.Dropper» به سرور فرمان به‌طور مستقیم وصل نمی‌شوند، به‌گونه‌ای که تعامل میان زیرساخت‌های قربانی و مهاجمان از طریق مخازن ابری‌ای همچون Cloudme، koofr.net و pcloud.com انجام می‌شود. همه دستورات به شکل اسکریپت‌های پاور‌شل ارسال می‌شوند تا ردکرل بتواند در برابر آنتی‌ویروس‌های قدیمی به مدت طولانی ناشناس بماند.

کارشناسان گروپ آی‌بی، 14 سازمانی را که هدف حملات ردکرل قرارگرفته‌اند، شناسایی کرده‌اند که بر اساس گزارشات منتشر شده برخی از آن‌ها چندین بار هدف حمله قرارگرفته‌اند.