مطالب پربازدید

1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

1404/06/24 - 09:51- جنگ سایبری

نقش سرداران شهید « باقری و سلامی» در برتری قدرت سایبری ایران

رویکرد راهبردی شهیدان باقری و سلامی، نیروهای مسلح ایران را با تدوین دکترین سایبری نوآورانه به یکی از قدرت‌های سایبری تبدیل کرد.

دانیال مشتاق

انتشار شده در تاریخ 1400/12/02 - 11:00

پرده برداری پروف پوینت از بدافزار جدید گروه هکری موش صحرایی

شرکت صهیونیستی پروف پوینت طی گزارشی از بدافزار جدید گروه هکری همسو با فلسطین Molerats به نام نیمبل مامبا پرده برداری کرد.

به گزارش کارگروه حملات سایبری سایبربان؛ شرکت امنیت سایبری اسرائیلی پروف پوینت مدعی است گروه هکری همسو با فلسطین TA402 یا Molerats (موش صحرایی) ایمپلنت جدیدی به نام نیمبِل مامبا را در یک کمپین جاسوسی سایبری مورد استفاده قرار داده است که از ژئوفنسینگ (تعیین محدوده جغرافیایی) و URL های منتهی به وبسایت های قانونی بهره مند می باشد.

محققین پروف پوینت سه گونه مختلف از زنجیره آلودگی را مشاهده کردند که تمامی آن ها دولت های کشورهای مختلف خاورمیانه، اندیشکده های سیاست خارجه و خطوط هوایی دولتی را مورد هدف قرار می دهند.

با توجه محور زمانی حملات اخیر، بازیگران مخرب ابتدا در نوامبر 2021 از نیمبل مامبا استفاده کرده اند و این عملیات را تا اواخر ژانویه 2022 ادامه داده اند.

TA402 در اکثر حملات از ایمیل های فیشینگ هدف داری استفاده می کند که دارای لینک های منتهی به سایت های رها سازی بدافزار هستند. قربانیان بایستی در محدوده جغرافیایی هدف باشند در غیر این صورت به سایت های خبری قانونی هدایت می شوند.

در صورتی که نشانی آی پی هدف با منطقه تعریف شده هدف تطابق داشته باشد، یک کپی از نیمبل مامبا داخل یک فایل RAR بر روی سیستم قربانی رها می شود.

پروف پوینت سه زنجیره ضمیمه مختلف با تفاوت های جزئی در تم تله فیشینگ، بازهدایت URL و سایت های میزبان بدافزار را شناسایی کرده اند.

پروف پوینت معتقد است که گروه موش صحرایی نمیبل مامبا را جایگزین LastConn (لَست کان)، در پشتی و دانلود کننده بدافزاری کردند که در گزارش ژوئن 2021 همین شرکت، آن را افشا کرد.

لست کان نیز ظاهرا جایگزین شارپ استیجی شده بود که در دسامبر 2020 توسط سایبریزِن افشا شد.

گروه موش صحرایی قابلیت خود در توسعه سریع ابزار اختصاصی را نشان داده و در صورت افشای آن ها، معمولا پس وقفه ای مشخص، ابزار جدیدی را جایگزین می کند.

نیمبل مامبا بی شک برخی شباهت هایی در کد به لست کان دارد اما این موارد محدود به فاکتورهایی مانند زبان برنامه نویسی، طرح کد گذاری سرور کنترل و فرمان و استفاده از دراپ باکس API برای ارتباطات می باشند.

این ابزار جدید سیستم های ضد تحلیل پیچیده تری دارد و با استفاده از ویژگی های امنیتی متعدد از اجرا شدن بر روی ماشین های هدف اطمینان حاصل می کند.

در صورت اجرایی شدن پیش نیازها، نیمبل مامبا تنظیمات پیکربندی خود را از یک صفحه JustPaste.it بازیابی می کند. این صفحه شامل کلیدهای احراز هویت API مبهم سازی شده برای ارتباطات سرور کنترل و فرمان است.

نیمبل مامبا قابلیت های یک تروجان جمع آوری کننده اطلاعات را داراست و احتمالا به منظور دسترسی اولیه طراحی شده است.

از جمله قابلیت های آن می توان به موارد زیر اشاره کرد:

تهیه اسکرین شات
به دست آوردن اطلاعات فرآیند از کامپیوتر
شناسایی تعاملات کاربران مانند حرکت موس

این فایل های RAR تنها شامل نیمبل مامبا نیستند و مواردی تروجان بریتل باش نیز در آن مشاهده شده است که به عنوان ابزار تهیه نسخه پشتیبانی مورد استفاده قرار می گیرد.

با افشا شدن ابزار جدید موش صحرایی انتظار می رود این گروه برای مدتی بدون فعالیت باشد و در این مدت ابزار جدیدی را جایگزین نیمبل مامبا کند.

باید این نکته را در نظر گرفت که اهداف این گروه دستخوش تغییر نخواهند شد.