مطالب پربازدید

1404/08/05 - 14:27- جنگ سایبری

اسرار نظامی و اطلاعات سری پدافند لیزری اسرائیل به دست هکرها افتاد

گروه هکری جبهه پشتیبانی سایبری «الجبهة الإسناد السيبرانية» اعلام کرد که با نفوذ به شرکت نظامی مایا، به اطلاعات محرمانه پدافند پیشرفته لیزری Iron Beam و تعداد زیادی از سلاح‌های پیشرفته اسرائیل دست یافته است.

1404/08/04 - 13:09- جنگ سایبری

افشای اطلاعات حساس وزارت جنگ رژیم صهیونیستی توسط گروه هکری جبهه پشتیبانی سایبری

گروه هکری «الجبهة الإسناد السيبرانية» با نفوذ به شرکت پوششی «مایا» وابسته به وزارت دفاع رژیم صهیونیستی، اطلاعات محرمانه‌ای از پروژه‌های نظامی این رژیم از جمله سامانه دفاع لیزری، پهپاد و موشک‌ها را فاش کرد.

1404/07/21 - 09:36- جنگ سایبری

ویژه‌نامه تحلیلی طوفان‌الاقصی سایبری؛ روایتی از نبرد میان حامیان غزه و رژیم صهیونیستی

ویژه‌نامه تحلیلی طوفان‌الاقصی سایبری که به مناسبت دومین سالگرد عملیات طوفان‌الاقصی‌ منتشر شده است؛ روایتی از نبرد سایبری میان حامیان‌غزه و رژیم صهیونیستی و هم‌پیمانانش است.

دانیال مشتاق

انتشار شده در تاریخ 1400/12/02 - 11:00

پرده برداری پروف پوینت از بدافزار جدید گروه هکری موش صحرایی

شرکت صهیونیستی پروف پوینت طی گزارشی از بدافزار جدید گروه هکری همسو با فلسطین Molerats به نام نیمبل مامبا پرده برداری کرد.

به گزارش کارگروه حملات سایبری سایبربان؛ شرکت امنیت سایبری اسرائیلی پروف پوینت مدعی است گروه هکری همسو با فلسطین TA402 یا Molerats (موش صحرایی) ایمپلنت جدیدی به نام نیمبِل مامبا را در یک کمپین جاسوسی سایبری مورد استفاده قرار داده است که از ژئوفنسینگ (تعیین محدوده جغرافیایی) و URL های منتهی به وبسایت های قانونی بهره مند می باشد.

محققین پروف پوینت سه گونه مختلف از زنجیره آلودگی را مشاهده کردند که تمامی آن ها دولت های کشورهای مختلف خاورمیانه، اندیشکده های سیاست خارجه و خطوط هوایی دولتی را مورد هدف قرار می دهند.

با توجه محور زمانی حملات اخیر، بازیگران مخرب ابتدا در نوامبر 2021 از نیمبل مامبا استفاده کرده اند و این عملیات را تا اواخر ژانویه 2022 ادامه داده اند.

TA402 در اکثر حملات از ایمیل های فیشینگ هدف داری استفاده می کند که دارای لینک های منتهی به سایت های رها سازی بدافزار هستند. قربانیان بایستی در محدوده جغرافیایی هدف باشند در غیر این صورت به سایت های خبری قانونی هدایت می شوند.

در صورتی که نشانی آی پی هدف با منطقه تعریف شده هدف تطابق داشته باشد، یک کپی از نیمبل مامبا داخل یک فایل RAR بر روی سیستم قربانی رها می شود.

پروف پوینت سه زنجیره ضمیمه مختلف با تفاوت های جزئی در تم تله فیشینگ، بازهدایت URL و سایت های میزبان بدافزار را شناسایی کرده اند.

پروف پوینت معتقد است که گروه موش صحرایی نمیبل مامبا را جایگزین LastConn (لَست کان)، در پشتی و دانلود کننده بدافزاری کردند که در گزارش ژوئن 2021 همین شرکت، آن را افشا کرد.

لست کان نیز ظاهرا جایگزین شارپ استیجی شده بود که در دسامبر 2020 توسط سایبریزِن افشا شد.

گروه موش صحرایی قابلیت خود در توسعه سریع ابزار اختصاصی را نشان داده و در صورت افشای آن ها، معمولا پس وقفه ای مشخص، ابزار جدیدی را جایگزین می کند.

نیمبل مامبا بی شک برخی شباهت هایی در کد به لست کان دارد اما این موارد محدود به فاکتورهایی مانند زبان برنامه نویسی، طرح کد گذاری سرور کنترل و فرمان و استفاده از دراپ باکس API برای ارتباطات می باشند.

این ابزار جدید سیستم های ضد تحلیل پیچیده تری دارد و با استفاده از ویژگی های امنیتی متعدد از اجرا شدن بر روی ماشین های هدف اطمینان حاصل می کند.

در صورت اجرایی شدن پیش نیازها، نیمبل مامبا تنظیمات پیکربندی خود را از یک صفحه JustPaste.it بازیابی می کند. این صفحه شامل کلیدهای احراز هویت API مبهم سازی شده برای ارتباطات سرور کنترل و فرمان است.

نیمبل مامبا قابلیت های یک تروجان جمع آوری کننده اطلاعات را داراست و احتمالا به منظور دسترسی اولیه طراحی شده است.

از جمله قابلیت های آن می توان به موارد زیر اشاره کرد:

تهیه اسکرین شات
به دست آوردن اطلاعات فرآیند از کامپیوتر
شناسایی تعاملات کاربران مانند حرکت موس

این فایل های RAR تنها شامل نیمبل مامبا نیستند و مواردی تروجان بریتل باش نیز در آن مشاهده شده است که به عنوان ابزار تهیه نسخه پشتیبانی مورد استفاده قرار می گیرد.

با افشا شدن ابزار جدید موش صحرایی انتظار می رود این گروه برای مدتی بدون فعالیت باشد و در این مدت ابزار جدیدی را جایگزین نیمبل مامبا کند.

باید این نکته را در نظر گرفت که اهداف این گروه دستخوش تغییر نخواهند شد.