مطالب پربازدید

1404/02/21 - 07:21- تروریسم سایبری

پیشنهاد رئیس سابق اداره ملی سایبری رژیم صهیونیستی درمورد ایران

رئیس سابق اداره سایبری ملی رژیم صهیونیستی گفت که این رژیم باید یک پیمان دفاع سایبری علیه ایران تشکیل دهد.

1404/03/25 - 08:09- تروریسم سایبری

جایزه 10 میلیون دلاری برای گروه هکری نجات دهنده سامانه‌های پدافندی

ایالات متحده اخیراً با اعلام بیانیه‌ای از تعیین جایزه 10 میلیون دلاری برای مرموزترین دشمن سایبری خود به نام مِستر سول خبر داد.

1404/01/16 - 14:04- جرم سایبری

حمله سایبری آژانس‌های اطلاعاتی آمریکا علیه کاربران موبایل

یک گزارش منتشرشده توسط یک ائتلاف صنعتی چینی، فعالیت‌های نظارتی و سرقت داده‌ای آژانس‌های اطلاعاتی آمریکا را که کاربران جهانی تلفن‌های هوشمند و سامانه‌های ارتباطی را هدف قرار می‌دهد، افشا کرد.

سما سمیعیان

انتشار شده در تاریخ 1404/02/24 - 11:12

هک نهادهای اوکراینی توسط هکرهای کره شمالی

هکرهای کره شمالی برای سنجش نیازهای جنگی روسیه، نهادهای اوکراینی را هک کردند.

به گزارش کارگروه حملات سایبری سایبربان؛ هکرهای تحت حمایت دولت کره شمالی حملاتی را علیه نهادهای دولتی و سایر سازمان‌ها در اوکراین انجام دادند. به نظر می‌رسد که این کشور می‌خواهد مشخص کند که آیا روسیه در جنگ جاری درخواست نیرو یا تسلیحات بیشتری خواهد کرد یا خیر.

کره شمالی کمپین‌های فیشینگ را با هدف جمع‌آوری اطلاعات اعتباری و ارسال بدافزار اجرا کرده است. برخلاف فعالیت‌های جنگ سایبری روسیه که معطوف به کسب اطلاعات تاکتیکی میدان نبرد یا ایجاد اختلال است، هکرهای کره شمالی بر جمع‌آوری اطلاعات استراتژیک تمرکز دارند؛ آنها به وضعیت سیاسی و نظامی اوکراین علاقه‌مند هستند تا از تصمیم‌گیری این کشور در مورد تعهدات نظامی به روسیه حمایت کنند.

شرکت امنیت سایبری پروف‌پوینت (Proofpoint) در گزارشی اعلام کرد:

«کره شمالی در پاییز 2024 نیروهایی را برای کمک به روسیه اعزام کرد و «TA406» به احتمال زیاد در حال جمع‌آوری اطلاعات برای کمک به رهبری کره شمالی در تعیین خطر فعلی برای نیروهایش است که از قبل در صحنه هستند و همچنین احتمال اینکه روسیه درخواست نیرو یا تسلیحات بیشتری کند.»

این شرکت امنیتی، عامل تهدید را TA406 نامگذاری کرده، اما با نام‌های «Opal Sleet» یا «Konni» نیز شناخته می‌شود. فعالیت‌های آن قبلاً با «Kimsuky» و «Thallium» همپوشانی داشته است. پروف‌پوینت از فوریه ۲۰۲۵ حملات سایبری علیه اوکراین توسط این هکرها را ردیابی کرده است.

تکیه بر جعل هویت و فیشینگ

هکرهای جمهوری دموکراتیک خلق کره (DPRK) خود را به جای اعضای اندیشکده‌های ساختگی معرفی و ایمیل‌های فیشینگ ارسال می‌کنند و اهداف را با محتوای سیاسی مرتبط، عمدتاً براساس رویدادهای اخیر، فریب می‌دهند.

ایمیل‌های فیشینگ حاوی فایل‌های HTML و CHM (راهنمای کامپایل شده HTML مایکروسافت) پیوست شده با اسکریپت‌های مخرب پاورشِل (PowerShell) هستند که بدافزار را مستقر می‌کنند. برای فرار از شناسایی، هکرها فایل‌ها را در یک بایگانی RAR محافظت شده با رمز عبور بسته‌بندی می‌کنند.

یک نمونه فیشینگ که توسط پروف‌پوینت مشاهده شد، شامل یک عضو ارشد ساختگی در یک اندیشکده غیرموجود به نام مؤسسه سلطنتی مطالعات استراتژیک بود. این فریب مربوط به والری زالوژنی (Valeriy Zaluzhnyi)، رهبر سابق نظامی اوکراین، بود.

اگر کاربری فایل HTML مخرب را باز کند، یک اسکریپت پاورشِل اجرا می‌شود که بسته‌های اضافی را دانلود و اجرا می‌کند. در این گزارش توضیح داده شده است:

«در مرحله بعدی، فایل پاورشِل چندین دستور را برای جمع‌آوری اطلاعات در مورد میزبان قربانی اجرا می‌کند. این دستورات شامل ipconfig /all، systeminfo و همچنین دستوراتی برای گرفتن نام فایل‌های اخیر و اطلاعات دیسک و دستوراتی برای استفاده از WMI با هدف جمع‌آوری اطلاعات در مورد هرگونه ابزار ضدویروس نصب شده روی میزبان است.»

به گفته محققان، TA406 با ارسال پیام‌های هشدار امنیتی جعلی مایکروسافت از حساب‌های «Proton Mail» یا ارائه آرشیوهای زیپ حاوی پی‌دی‌اف‌های بی‌خطر و همچنین فایل‌های LNK مخرب که پاورشِل رمزگذاری شده با «Base64» را اجرا می‌کنند، در تلاش برای جمع‌آوری اعتبارنامه‌ها است.

محققان نتیجه‌گیری کردند:

«پروف‌پوینت ارزیابی کرده که TA406 نهادهای دولتی اوکراین را هدف قرار می‌دهد تا اشتیاق برای ادامه مبارزه علیه تهاجم روسیه را بهتر درک کند و چشم‌انداز میان‌مدت این درگیری را ارزیابی نماید.»