اسناد جعلی درباره تحرکات نظامی اوکراین با لینک‌های مخرب

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، بر اساس گزارش شرکت امنیت سایبری سیسکو تالوس (Cisco Talos)، این کمپین که حداقل از نوامبر ۲۰۲۴ فعال بوده است، با اطمینان متوسط به گروه گاماردون (Gamaredon) نسبت داده می‌شود.

این گروه که با نام بلو آلفا (BlueAlpha) نیز شناخته می‌شود، به عنوان یکی از فعال‌ترین تهدیدهای سایبری تحت حمایت مسکو در منطقه توصیف شده است.

در جدیدترین حمله خود، گاماردون از ایمیل‌های فیشینگ حاوی فایل‌های مخربی که با تحرکات نظامی اوکراین مرتبط هستند، برای آلوده کردن قربانیان استفاده کرده است.

حمله روسیه به اوکراین یکی از تم‌های رایج در کمپین‌های فیشینگ این گروه محسوب می‌شود.

این فایل‌های مخرب یک اسکریپت پاورشل را اجرا می‌کنند که به سرورهایی در روسیه و آلمان متصل شده و یک فایل زیپ (ZIP) حاوی ابزار جاسوسی رمکوس (Remcos) را دانلود می‌کند.

در حالی که روش دقیق توزیع این فایل‌ها هنوز مشخص نیست، محققان احتمال می‌دهند که گاماردون همچنان به ایمیل‌های فیشینگ متکی باشد؛ به این صورت که فایل زیپ را مستقیماً به ایمیل پیوست کند یا لینکی برای دانلود آن از سرورهای راه دور ارائه دهد.

گروه گاماردون که از سال ۲۰۱۳ فعال بوده، احتمالاً از شبه‌جزیره کریمه که تحت کنترل روسیه است، فعالیت می‌کند و به سرویس امنیت فدرال روسیه (FSB) مرتبط است.

تنها در سال ۲۰۲۳، اوکراین ۲۷۷ حادثه سایبری را به این گروه نسبت داده است.

رمکوس ، ابزار مدیریت از راه دوری که در این حمله مورد استفاده قرار گرفته، در ابتدا توسط شرکت آلمانی برکینگ سکیوریتی (Breaking Security) برای مدیریت سیستم‌های ویندوز به‌صورت قانونی توسعه داده شد.

این شرکت رمکوس را به عنوان ابزاری سبک، سریع و بسیار قابل تنظیم توصیف می‌کند که دارای نسخه رایگان و نسخه پریمیوم ۸۰ دلاری است.

با این حال، زمانی که هکرها از رمکوس سوءاستفاده کنند، این ابزار به آن‌ها امکان نظارت غیرمجاز را داده و اجازه می‌دهد اطلاعات قربانیان را جمع‌آوری کنند، اطلاعات ورود به سیستم را از مرورگرهای وب استخراج کنند و با اجرای آن به‌عنوان یک پردازش قانونی در ویندوز، از شناسایی آنتی‌ویروس‌ها فرار کنند.

این حمله در حالی رخ داده که گزارش‌های متعددی درباره فعالیت‌های سایبری روسیه منتشر شده است.

هفته گذشته، محققان امنیت سایبری یک گروه هکری دیگر تحت حمایت روسیه به نام واتر گامایون (Water Gamayun) را به سوءاستفاده از یک آسیب‌پذیری ناشناخته در سیستم‌عامل ویندوز مایکروسافت مرتبط کردند.

محققان شرکت ترند میکرو (Trend Micro) اعلام کردند که این گروه در حملات خود دو درب پشتی جدید با نام‌های سایلنت پریسم (SilentPrism) و دارک ویسپ (DarkWisp) را به کار گرفته است.

همچنین، شرکت امنیت سایبری سایلنت پوش (Silent Push) گزارش داد که هکرهای مرتبط با سازمان‌های اطلاعاتی روسیه در حال جعل هویت سازمان‌هایی مانند سیا (CIA) هستند تا اطلاعات افرادی که از اوکراین حمایت می‌کنند را جمع‌آوری کنند.

این کمپین به‌طور خاص شهروندان روسی مخالف جنگ را هدف قرار داده است؛ اقداماتی که در روسیه غیرقانونی محسوب شده و می‌تواند منجر به دستگیری شود.