به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان ادعا کردند که هکرهای روسی موسوم به «APT28» از جنگ جاری رژیم صهیونیستی و حماس برای تسهیل تحویل یک درب پشتی سفارشی به نام «HeadLace» استفاده میکند.
«X-Force» آیبیام در حال ردیابی حریف تحت نام «ITG05» است که با نامهای «BlueDelta»، «Fancy Bear»، «Forest Blizzard» (Strontium سابق)، «FROZENLAKE»، «Iron Twilight»، سِدنیت (Sednit)، سوفاسی (Sofacy) و «TA422» نیز شناخته میشود.
گولو مور (Golo Mühr)، کلر زابووا (Claire Zaboeva) و جو فاسولو (Joe Fasulo)، محققان امنیتی گفتند :
«کمپین تازه کشف شده علیه اهداف مستقر در حداقل 13 کشور در سراسر جهان است و از اسناد معتبر ایجاد شده توسط مراکز دانشگاهی، مالی و دیپلماتیک استفاده میکند. زیرساختهای ITG05 تضمین میکند که تنها اهدافی از یک کشور خاص میتوانند بدافزار را دریافت کنند که نشاندهنده ماهیت بسیار هدفمند کمپین است.»
اهداف این کمپین شامل مجارستان، ترکیه، استرالیا، لهستان، بلژیک، اوکراین، آلمان، آذربایجان، عربستان سعودی، قزاقستان، ایتالیا، لتونی و رومانی است.
هکرها از فریبهایی استفاده میکنند که عمدتاً برای شناسایی نهادهای اروپایی با تأثیر مستقیم بر تخصیص کمکهای بشردوستانه طراحی شدهاند و از اسناد مرتبط با سازمان ملل متحد، بانک رژیم صهیونیستی، سرویس تحقیقات کنگره ایالات متحده و پارلمان اتحادیه اروپا، یک اتاق فکر اوکراینی و یک کمیسیون بین دولتی آذربایجان و بلاروس استفاده میکنند.
محققان اظهار داشتند که برخی حملات از آرشیوهای «RAR» استفاده میکنند که از نقص «WinRAR» به نام «CVE-2023-38831» برای انتشار «HeadLace»، یک درب پشتی که برای اولین بار توسط تیم واکنش اضطراری رایانهای اوکراین (CERT-UA) در حملاتی با هدف زیرساختهای حیاتی افشا شد، استفاده میکنند.؛ شایان ذکر است که «Zscaler» در اواخر سپتامبر 2023 کمپین مشابهی به نام «Steal-It» را فاش کرد که اهدافی را با محتوای بزرگسالان فریب داد تا اطلاعات حساس آنها را سرقت کند.
این افشاگری یک هفته پس از آن صورت گرفت که مایکروسافت، واحد 42 شبکههای پالو آلتو (Palo Alto Networks) و پروفپوینت (Proofpoint) در مورد سوءاستفاده عامل تهدید از نقص امنیتی حیاتی «Microsoft Outlook» (CVE-2023-23397، امتیاز CVSS: 9.8) برای دسترسی غیرمجاز به حسابهای قربانیان در سرورهای تبادل توضیح دادند.
بنابراین، اتکا به اسناد رسمی بهعنوان فریب، نشاندهنده انحراف از فعالیتهای مشاهدهشده قبلی و تأکید فزاینده ITG05 بر یک مخاطب هدف منحصربهفرد است که علایق آنها باعث تعامل با مواد مؤثر بر ایجاد سیاستهای نوظهور میشود.
محققان گفتند :
«به احتمال زیاد به خطر افتادن هر یک از مراکز جهانی سیاست خارجی ممکن است به منافع مقامات با بینش پیشرفته نسبت به پویاییهای حیاتی پیرامون رویکرد جامعه بینالمللی (IC) برای اولویتهای رقابتی کمکهای امنیتی و بشردوستانه کمک کند.»
این توسعه زمانی انجام شد که CERT-UA عامل تهدید معروف به «UAC-0050» را به یک حمله فیشینگ گسترده مبتنی بر ایمیل علیه اوکراین و لهستان با استفاده از «Remcos RAT» و «Meduza Stealer» مرتبط کرد.
