مطالب پربازدید

1404/03/25 - 08:09- تروریسم سایبری

جایزه 10 میلیون دلاری برای گروه هکری نجات دهنده سامانه‌های پدافندی

ایالات متحده اخیراً با اعلام بیانیه‌ای از تعیین جایزه 10 میلیون دلاری برای مرموزترین دشمن سایبری خود به نام مِستر سول خبر داد.

1404/03/28 - 09:08- تروریسم سایبری

اعتراف منابع صهیونیستی به نفوذ سایبری ایران در پخش تصاویر پشت‌پرده

منابع صهیونیستی به نفوذ سایبری ایران در پخش تصاویر پشت‌پرده اعتراف کردند.

1404/03/27 - 20:40- آسیا

حمله سایبری به بانک سپه

هکرهای گنجشک درنده(گروهی منتسب به آمریکا) مدعی حمله سایبری به بانک سپه شدند.

سما سمیعیان

انتشار شده در تاریخ 1403/03/08 - 11:56

ادعای جاسوسی هکرهای روسی از اوکراین و متحدانش

هکرهای روسی از نرم‌افزار نظارت از راه دور قانونی برای جاسوسی از اوکراین و متحدان استفاده کردند.

به گزارش کارگروه بین‌الملل سایبربان؛ کارشناسان مدعی شدند که هکرهای روسی از نرم‌افزار نظارت و مدیریت از راه دور قانونی برای جاسوسی از اوکراین و متحدانش استفاده کردند؛ اسکریپت‌های مخرب مورد نیاز برای دانلود و اجرای برنامه «RMM» روی رایانه قربانیان در میان کدهای قانونی پایتون بازی مین‌سواری (Minesweeper) مایکروسافت پنهان شده‌اند.

تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA)، که تحت سرویس ارتباطات ویژه دولتی فعالیت می‌کند، هشدار داد که مجرمان سایبری روسی از برنامه نرم‌افزاری قانونی «SuperOps RMM» برای دسترسی غیرمجاز به سیستم‌های اطلاعاتی سازمان‌های اوکراینی، به ویژه آنهایی که در بخش مالی هستند، استفاده می‌کنند.

مرکز امنیت سایبری بانک ملی اوکراین (CSIRT-NBU) و تیم واکنش اضطراری رایانه‌ای این کشور ایمیل‌های فیشینگ ارسال شده به قربانیان را با پیوند «Dropbox» حاوی یک فایل اجرایی (.SCR) با حجم حدود 33 مگابایت ضبط و تجزیه و تحلیل کردند. ایمیل‌ها از آدرس «[email protected]» ارسال شده‌اند که جعل هویت یک مرکز پزشکی و دارای موضوع «بایگانی وب شخصی اسناد پزشکی» است.

فایل .SCR حاوی یک شبیه‌سازی پایتون از بازی Minesweeper به همراه کدهای مخرب پایتون بود که اسکریپت‌های اضافی را از یک منبع راه دور «anotepad.com» دانلود می‌کند. کد Minesweeper حاوی تابعی به نام «create_license_ver» بود که برای رمزگشایی و اجرای کد مخرب پنهان طراحی شده است.

برنامه قانونی SuperOps RMM در نهایت از یک فایل زیپ (ZIP) دانلود و نصب می‌شود و به مهاجمان امکان دسترسی از راه دور به رایانه قربانی را می‌دهد.

تیم واکنش اضطراری رایانه‌ای اوکراین به 5 پرونده مشابه به نام‌های مؤسسات مالی و بیمه در اروپا و ایالات متحده اشاره کرد که نشان می‌دهد این حملات سایبری که بین فوریه تا مارس 2024 رخ داده‌اند، گستره جغرافیایی گسترده‌ای دارند. سازمان اوکراینی این فعالیت تهدید را به عاملی موسوم به «UAC-0188» نسبت داد.

بنابر ادعای کارشناسان اوکراینی، UAC-0118 که با نام «FRwL» یا «FromRussiaWithLove» نیز شناخته می‌شود، یک گروه عامل تهدید هکری وابسته به دولت روسیه است که در طول جنگ روسیه و اوکراین در سال 2022 ظهور کرد و عمدتاً زیرساخت‌های حیاتی، رسانه‌ها، انرژی و نهادهای دولتی را هدف قرار می‌دهد؛ FRwL قبلاً به استفاده از دزد «Vidar» و باج‌افزار سامنیا (Somnia) مرتبط بوده که از آنها به‌عنوان پاک‌کننده داده و نه سود مالی استفاده می‌کنند. در حالیکه هیچ مدرک مستقیمی وجود ندارد که FRwL را به اداره اطلاعات اصلی روسیه مرتبط کند، ممکن است که آنها فعالیت‌های خود را با گروه‌های هکری دولتی هماهنگ کنند.

دفاع احتمالی در برابر کمپین نظارت از راه دور

تیم واکنش اضطراری رایانه‌ای اوکراین موارد زیر را توصیه کرد :

•    سازمان‌هایی که از SuperOps RMM استفاده نمی‌کنند باید عدم وجود فعالیت شبکه مرتبط با نام‌های دامنه را تأیید کنند : [.]superops[.]com، [.]superops[.]ai.
•    بهبود بهداشت سایبری کارکنان.
•    استفاده و به‌روزرسانی مداوم نرم‌افزارهای ضد ویروس.
•    به‌روزرسانی منظم سیستم‌عامل‌ها و نرم‌افزارها.
•    از رمزهای عبور قوی استفاده کنید و مرتباً آنها را تغییر دهید.
•    از داده‌های مهم نسخه پشتیبان تهیه کنید.

مؤسسات مالی اوکراین همچنان در رادار Smokeloader

گروه با انگیزه مالی «UAC-0006» تا سال 2023 حملات فیشینگ را با هدف هدف قرار دادن اوکراین آغاز کرده است. تیم واکنش اضطراری رایانه‌ای اوکراین ادعا کرد که این گروه هکری تلاش کرده «Smokeloader»، یک بدافزار رایج در جعبه ابزار گروه را توزیع کند. هدف این گروه تهدید در درجه اول سرقت اعتبارنامه‌ها و اجرای نقل و انتقالات غیرمجاز وجوه بوده که خطر قابل توجهی برای سیستم‌های مالی ایجاد می‌کند.

SmokeLoader یک برنامه بات و تروجان مخرب است که می‌تواند از اقدامات امنیتی برای آلوده کردن دستگاه‌های ویندوز فرار و بدافزارهای دیگر را نصب کند، داده‌های حساس را بدزدد و به فایل‌ها آسیب برساند.

محققان ادعا کردند که در طول سال گذشته، UAC-0006 چندین کمپین فیشینگ را علیه اوکراین انجام داده و از فریب‌های مالی سوءاستفاده و از پیوست‌های زیپ و «RAR» برای توزیع Smokeloader استفاده کرده است.

تیم واکنش اضطراری رایانه‌ای اوکراین هفته گذشته هشدار دیگری درباره افزایش قابل توجه فعالیت UAC-0006 صادر کرد. هکرها حداقل 2 کمپین برای توزیع Smokeloader انجام داده‌اند و الگوهای مشابه حملات قبلی را نشان می‌دهند. آخرین عملیات شامل ایمیل‌هایی با آرشیو زیپ حاوی تصاویری است که شامل فایل‌های اجرایی و فایل‌های «Microsoft Access» با ماکروهایی هستند که دستورات پاورشِل (PowerShell) را برای دانلود و اجرای سایر فایل‌های اجرایی اجرا می‌کنند.

پس از دسترسی اولیه، مهاجمان بدافزار اضافی از جمله «TALESHOT» و «RMS» را دانلود می‌کنند. بات‌نت در حال حاضر از چند صد کامپیوتر آلوده تشکیل شده است.

تیم واکنش اضطراری رایانه‌ای اوکراین افزایش عملیات متقلبانه مربوط به سیستم‌های بانکی از راه دور را پیش‌بینی و بنابراین قویاً افزایش امنیت ایستگاه‌های کاری خودکار حسابداران و اطمینان از اجرای سیاست‌ها و مکانیسم‌های حفاظتی لازم برای کاهش خطرات آلودگی را توصیه کرد.