مطالب پربازدید

1404/09/11 - 08:18- تروریسم سایبری

آماده‌سازی رژیم صهیونیستی در حوزه فناوری برای جنگ احتمالی بعدی با ایران

رژیم صهیونیستی در حال آماده‌سازی طیف جدیدی از سلاح‌ها و فناوری‌های جدید برای جنگ بعدی با ایران است.

1404/10/01 - 10:44- جنگ سایبری

هشدار روزنامه اسرائیلی درباره جنگ سایبری با ایران

روزنامه اسرائیلی معاریو پس از یک سری حملات هکری علیه شخصیت‌های ارشد سیاسی و نهادهای دولتی، درباره جنگ سایبری با ایران و تشدید نفوذها هشدار داد.

1404/09/24 - 10:47- تروریسم سایبری

هشدار رژیم صهیونیستی درمورد حملات سایبری نگران‌کننده ایران

مدیرکل اداره ملی سایبری رژیم صهیونیستی درمورد حملات ایران و احتمال جنگ سایبری هولناک هشدار داد.

دانیال مشتاق

انتشار شده در تاریخ 1400/12/02 - 11:00

پرده برداری پروف پوینت از بدافزار جدید گروه هکری موش صحرایی

شرکت صهیونیستی پروف پوینت طی گزارشی از بدافزار جدید گروه هکری همسو با فلسطین Molerats به نام نیمبل مامبا پرده برداری کرد.

به گزارش کارگروه حملات سایبری سایبربان؛ شرکت امنیت سایبری اسرائیلی پروف پوینت مدعی است گروه هکری همسو با فلسطین TA402 یا Molerats (موش صحرایی) ایمپلنت جدیدی به نام نیمبِل مامبا را در یک کمپین جاسوسی سایبری مورد استفاده قرار داده است که از ژئوفنسینگ (تعیین محدوده جغرافیایی) و URL های منتهی به وبسایت های قانونی بهره مند می باشد.

محققین پروف پوینت سه گونه مختلف از زنجیره آلودگی را مشاهده کردند که تمامی آن ها دولت های کشورهای مختلف خاورمیانه، اندیشکده های سیاست خارجه و خطوط هوایی دولتی را مورد هدف قرار می دهند.

با توجه محور زمانی حملات اخیر، بازیگران مخرب ابتدا در نوامبر 2021 از نیمبل مامبا استفاده کرده اند و این عملیات را تا اواخر ژانویه 2022 ادامه داده اند.

TA402 در اکثر حملات از ایمیل های فیشینگ هدف داری استفاده می کند که دارای لینک های منتهی به سایت های رها سازی بدافزار هستند. قربانیان بایستی در محدوده جغرافیایی هدف باشند در غیر این صورت به سایت های خبری قانونی هدایت می شوند.

در صورتی که نشانی آی پی هدف با منطقه تعریف شده هدف تطابق داشته باشد، یک کپی از نیمبل مامبا داخل یک فایل RAR بر روی سیستم قربانی رها می شود.

پروف پوینت سه زنجیره ضمیمه مختلف با تفاوت های جزئی در تم تله فیشینگ، بازهدایت URL و سایت های میزبان بدافزار را شناسایی کرده اند.

پروف پوینت معتقد است که گروه موش صحرایی نمیبل مامبا را جایگزین LastConn (لَست کان)، در پشتی و دانلود کننده بدافزاری کردند که در گزارش ژوئن 2021 همین شرکت، آن را افشا کرد.

لست کان نیز ظاهرا جایگزین شارپ استیجی شده بود که در دسامبر 2020 توسط سایبریزِن افشا شد.

گروه موش صحرایی قابلیت خود در توسعه سریع ابزار اختصاصی را نشان داده و در صورت افشای آن ها، معمولا پس وقفه ای مشخص، ابزار جدیدی را جایگزین می کند.

نیمبل مامبا بی شک برخی شباهت هایی در کد به لست کان دارد اما این موارد محدود به فاکتورهایی مانند زبان برنامه نویسی، طرح کد گذاری سرور کنترل و فرمان و استفاده از دراپ باکس API برای ارتباطات می باشند.

این ابزار جدید سیستم های ضد تحلیل پیچیده تری دارد و با استفاده از ویژگی های امنیتی متعدد از اجرا شدن بر روی ماشین های هدف اطمینان حاصل می کند.

در صورت اجرایی شدن پیش نیازها، نیمبل مامبا تنظیمات پیکربندی خود را از یک صفحه JustPaste.it بازیابی می کند. این صفحه شامل کلیدهای احراز هویت API مبهم سازی شده برای ارتباطات سرور کنترل و فرمان است.

نیمبل مامبا قابلیت های یک تروجان جمع آوری کننده اطلاعات را داراست و احتمالا به منظور دسترسی اولیه طراحی شده است.

از جمله قابلیت های آن می توان به موارد زیر اشاره کرد:

تهیه اسکرین شات
به دست آوردن اطلاعات فرآیند از کامپیوتر
شناسایی تعاملات کاربران مانند حرکت موس

این فایل های RAR تنها شامل نیمبل مامبا نیستند و مواردی تروجان بریتل باش نیز در آن مشاهده شده است که به عنوان ابزار تهیه نسخه پشتیبانی مورد استفاده قرار می گیرد.

با افشا شدن ابزار جدید موش صحرایی انتظار می رود این گروه برای مدتی بدون فعالیت باشد و در این مدت ابزار جدیدی را جایگزین نیمبل مامبا کند.

باید این نکته را در نظر گرفت که اهداف این گروه دستخوش تغییر نخواهند شد.