هک سازمان‌های روسی با هویت جعلی مقامات قرقیزستان

به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان «BI.ZONE» در مورد فعالیت‌های یک گروه هکری به نام «Sticky Werewolf»، که با نام «Cavalry Werewolf» نیز شناخته می‌شود، گزارش دادند که از آوریل 2023 حداقل 30 حمله به سازمان‌های دولتی در روسیه و بلاروس انجام داده است. مهاجمان برای پنهان کردن خود، از آدرس‌های ایمیلی شبیه به آدرس‌های مقامات دولتی قرقیزستان و در برخی موارد حتی از آدرس‌های واقعی ذکر شده در وب‌سایت‌های رسمی قرقیزستان استفاده کردند.

طبق گزارش BI.ZONE، هکرها ایمیل‌های فیشینگ با برچسب «اسناد مهم» ارسال کردند. پیوست‌ها حاوی فایل‌های مخربی بودند که به صورت اسناد پی‌دی‌اف یا وُرد پنهان شده بودند و ابزارهای دسترسی از راه دور (Ozone RAT یا Darktrack RAT) را نصب می‌کردند. این ابزارها به مهاجمان اجازه می‌دادند تا کنترل کامل رایانه‌های قربانیان را به دست آورند: رمزهای عبور و پیام‌ها را رهگیری، صدا و تصویر را از طریق میکروفون و وب‌کم ضبط و فایل‌ها و فرآیندها را از راه دور مدیریت کنند.

برای دور زدن نرم‌افزار آنتی‌ویروس و جلوگیری از تجزیه و تحلیل، Sticky Werewolf از فناوری‌های محافظتی مانند تِمیدا (Themida) و سرویس «IP Logger» برای جمع‌آوری داده‌های قربانیان از جمله آدرس‌های آی‌پی، مکان‌ها، مرورگرها و سیستم‌عامل‌ها استفاده کرد.

کارشناسان خاطرنشان کردند که این گروه از ابزارهای گران‌قیمت یا منحصربه‌فرد استفاده نمی‌کند، بلکه به بدافزارهای موجود در قالب سرویس متکی است. با وجود سادگی، حملات به دلیل امنیت سایبری ضعیف در سازمان‌های دولتی هدف، موفقیت‌آمیز بوده‌اند.

هویت قربانیان فاش نشده است.