مطالب پربازدید

1404/02/21 - 07:21- تروریسم سایبری

پیشنهاد رئیس سابق اداره ملی سایبری رژیم صهیونیستی درمورد ایران

رئیس سابق اداره سایبری ملی رژیم صهیونیستی گفت که این رژیم باید یک پیمان دفاع سایبری علیه ایران تشکیل دهد.

1404/03/25 - 08:09- تروریسم سایبری

جایزه 10 میلیون دلاری برای گروه هکری نجات دهنده سامانه‌های پدافندی

ایالات متحده اخیراً با اعلام بیانیه‌ای از تعیین جایزه 10 میلیون دلاری برای مرموزترین دشمن سایبری خود به نام مِستر سول خبر داد.

1404/01/26 - 08:33- آمریکا

برگزاری رزمایش پاسخ هماهنگ به حمله سایبری توسط اعضای ناتو

متحدان ناتو در یک رزمایش در ماه آوریل سال جاری، پاسخ هماهنگ به حمله سایبری را تمرین کردند.

سما سمیعیان

انتشار شده در تاریخ 1403/06/15 - 08:55

سوءاستفاده از آسیب‌پذیری WinRAR علیه روسیه و بلاروس

به گفته کارشناسان، هکرها از آسیب‌پذیری «WinRAR» در حملات علیه روسیه و بلاروس سوء استفاده می‌کنند.

به گزارش کارگروه امنیت سایبربان؛ کارشناسان معتقدند که یک گروه هکری معروف به «Head Mare» با حملات سایبری مرتبط است که منحصراً سازمان‌های مستقر در روسیه و بلاروس را هدف قرار می‌دهد.

شرکت امنیت سایبری کسپرسکی (Kaspersky) در تحلیل خود از تاکتیک‌ها و ابزارهای گروه گفت :

«هد ماری از روش‌های به‌روزتری برای دسترسی اولیه استفاده می‌کند. برای مثال، مهاجمان از آسیب‌پذیری نسبتاً اخیر CVE-2023-38831 در WinRAR استفاده کردند که به مهاجم اجازه می‌دهد تا کد دلخواه را از طریق یک آرشیو آماده شده روی سیستم اجرا کند. این رویکرد به گروه اجازه می‌دهد تا بار مخرب را تحویل دهد و مؤثرتر پنهان کند.»

Head Mare که از سال 2023 فعال است، یکی از گروه‌های هکری است که به سازمان‌های روسی در چارچوب درگیری روسیه و اوکراین که یک سال قبل از آن آغاز شد، حمله می‌کند.

همچنین در پلتفرم X (توییتر سابق) حضور دارد، جایی که اطلاعات حساس و اسناد داخلی قربانیان را فاش کرده است. اهداف حملات این گروه شامل دولت‌ها، بخش‌های حمل و نقل، انرژی، تولید و محیط زیست است.

برخلاف دیگر گروه‌های هکری که احتمالاً با هدف وارد کردن «حداکثر آسیب» به شرکت‌های 2 کشور عمل می‌کنند، این گروه هکری دستگاه‌های قربانیان را با استفاده از لاک‌بیت (LockBit) برای ویندوز و «Babuk» برای لینوکس (ESXi) رمزگذاری می‌کند و برای رمزگشایی داده‌ها باج می‌خواهد.

همچنین بخشی از جعبه ابزار آن «PhantomDL» و «PhantomCore» است که اولی یک درب پشتی مبتنی بر Go است که قادر به ارائه بارهای اضافی و آپلود فایل‌های مورد علاقه در یک سرور فرماندهی و کنترل (C2) است.

PhantomCore (معروف به PhantomRAT)، سلف PhantomDL، یک تروجان دسترسی از راه دور با ویژگی‌های مشابه است که امکان دانلود فایل‌ها از سرور فرماندهی و کنترل، آپلود فایل‌ها از یک میزبان در معرض خطر به سرور فرماندهی و کنترل و همچنین اجرای دستورات در مترجم خط فرمان cmd.exe را فراهم می‌کند.

کسپرسکی اظهار داشت :

«هکرها وظایف برنامه‌ریزی شده و مقادیر رجیستری به نام «MicrosoftUpdateCore» و «MicrosoftUpdateCoree» را ایجاد می‌کنند تا فعالیت خود را به عنوان وظایف مربوط به نرم‌افزار مایکروسافت پنهان کنند. ما همچنین متوجه شدیم که برخی نمونه‌های لاک‌بیت که توسط گروه استفاده می‌شد، نام‌های زیر را داشتند : OneDrive.exe [و] VLC.exe. این نمونه‌ها در فهرست C:\ProgramData قرار داشتند و خود را به عنوان برنامه‌های OneDrive و VLC قانونی پنهان می‌کردند.»

به گفته محققان، هر 2 مصنوع از طریق کمپین‌های فیشینگ در قالب اسناد تجاری با پسوندهای مضاعف توزیع شده‌اند.

یکی دیگر از اجزای مهم زرادخانه حمله آن، «Sliver»، یک چارچوب فرماندهی و کنترل منبع باز و مجموعه‌ای از ابزارهای مختلف در دسترس عموم مانند «rsockstun»، «ngrok» و «Mimikatz» است که کشف، حرکت جانبی و برداشت اعتبار را تسهیل می‌کند.

این نفوذها بسته به محیط هدف، با استقرار لاک‌بیت یا Babuk به اوج خود می‌رسد و به دنبال آن یک یادداشت باج می‌اندازد که در ازای یک رمزگشا برای باز کردن قفل فایل‌ها، پرداختی را می‌طلبد.

کسپرسکی گفت :

«تاکتیک‌ها، روش‌ها، رویه‌ها و ابزارهای مورد استفاده توسط گروه Head Mare عموماً مشابه گروه‌های دیگر مرتبط با گروه‌هایی است که سازمان‌های روسیه و بلاروس را در چارچوب درگیری روسیه و اوکراین هدف قرار می‌دهند. با این حال، این گروه با استفاده از بدافزارهای سفارشی مانند PhantomDL و PhantomCore و همچنین بهره‌برداری از یک آسیب‌پذیری نسبتاً جدید، CVE-2023-38831، برای نفوذ به زیرساخت قربانیان خود در کمپین‌های فیشینگ، خود را متمایز می‌کند.»