مطالب پربازدید

1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

1404/08/05 - 14:27- جنگ سایبری

اسرار نظامی و اطلاعات سری پدافند لیزری اسرائیل به دست هکرها افتاد

گروه هکری جبهه پشتیبانی سایبری «الجبهة الإسناد السيبرانية» اعلام کرد که با نفوذ به شرکت نظامی مایا، به اطلاعات محرمانه پدافند پیشرفته لیزری Iron Beam و تعداد زیادی از سلاح‌های پیشرفته اسرائیل دست یافته است.

1404/08/04 - 13:09- جنگ سایبری

افشای اطلاعات حساس وزارت جنگ رژیم صهیونیستی توسط گروه هکری جبهه پشتیبانی سایبری

گروه هکری «الجبهة الإسناد السيبرانية» با نفوذ به شرکت پوششی «مایا» وابسته به وزارت دفاع رژیم صهیونیستی، اطلاعات محرمانه‌ای از پروژه‌های نظامی این رژیم از جمله سامانه دفاع لیزری، پهپاد و موشک‌ها را فاش کرد.

سما سمیعیان

انتشار شده در تاریخ 1404/07/30 - 06:32

تکامل بدافزارهای هکرهای روس در کپچاهای من ربات نیستم

گروه اطلاعات تهدید گوگل ادعا کرد که هکرهای روسی بدافزارهایی را تکامل می‌دهند که در کپچاهای «من ربات نیستم» قرار می‌گیرند.

به گزارش کارگروه امنیت سایبربان؛ گروه هکری «Star Blizzard»، که توسط دولت روسیه حمایت می‌شود، عملیات خود را با خانواده‌های بدافزار جدید و دائماً در حال تکامل «NoRobot، MaybeRobot» افزایش داده که در زنجیره‌های تحویل پیچیده مستقر و با حملات مهندسی اجتماعی «ClickFix» شروع می‌شوند.

این عامل تهدید، که با نام‌های «ColdRiver»، «UNC4057» و کالیستو (Callisto) نیز شناخته می‌شود، بدافزار «LostKeys» را کمتر از یک هفته پس از انتشار تحلیل‌های محققان، رها و از ابزارهای مخرب تهاجمی‌تر از هر یک از کمپین‌های قبلی خود استفاده کرد.

گروه اطلاعات تهدید گوگل (GTIG) در گزارشی در ماه می سال جاری اعلام کرد که بدافزار LostKeys در حملات به دولت‌های غربی، روزنامه‌نگاران، اندیشکده‌ها و سازمان‌های غیردولتی مورد استفاده قرار می‌گیرد.

این بدافزار برای اهداف جاسوسی استفاده می‌شد و قابلیت‌های آن شامل استخراج داده‌ها بر اساس فهرستی از افزونه‌ها و دایرکتوری‌های کدگذاری شده بود. محققان گروه اطلاعات تهدید گوگل ادعا کردند که ColdRiver پس از افشای عمومی بدافزار LostKeys، آن را کاملاً رها کرد و تنها 5 روز بعد، در عملیاتی، شروع به استقرار ابزارهای مخرب جدیدی کرد که با نام‌های «NOROBOT»، «YESROBOT» و «MAYBEROBOT» ردیابی می‌شوند.

به گفته گروه اطلاعات تهدید گوگل، این تغییر ابزار با NOROBOT آغاز شد، یک DLL مخرب که از طریق حملات ClickFix شامل صفحات جعلیِ «CAPTCHA» منتقل می‌شد و هدف را فریب می‌داد تا آن را از طریق «rundll32» تحت پوشش یک فرآیند تأیید اجرا کند.

هکرها سعی کردند هدف را فریب دهند تا با اجرای دستوری که بدافزار NOROBOt را اجرا می‌کند، یک چالش کپچای «من ربات نیستم» را انجام دهد تا ثابت کند که انسان است.

محققان شرکت امنیت ابری «Zscaler» در ماه سپتامبر امسال NOROBOT را تجزیه و تحلیل کردند و آن را «BAITSWITCH»، به همراه بار داده آن، یک درب پشتی موسوم به «SIMPLEFIX»، نامیدند.

گوگل عنوان کرد که NOROBOT از ماه می تا سپتامبر سال جاری در حال توسعه مداوم بوده است. NOROBOT از طریق تغییرات رجیستری و وظایف زمان‌بندی‌شده، پایداری خود را افزایش می‌دهد و در ابتدا یک نصب کامل پایتون ۳.۸ برای ویندوز را برای آماده‌سازی برای درب پشتی مبتنی بر پایتون YESROBOT بازیابی کرد.

با این حال، گروه اطلاعات تهدید گوگل خاطرنشان کرد که استفاده از YESROBOT کوتاه‌مدت بود، احتمالاً به این دلیل که نصب پایتون یک اثر مصنوعی آشکار بود که توجه را جلب می‌کرد، زیرا ColdRiver آن را به دلیل یک درب پشتی دیگر، یک اسکریپت پاورشِل (PowerShell) به نام MAYBEROBOT رها کرد که توسط Zscaler با نام SIMPLEFIX شناسایی شده است.

از اوایل ماه ژوئن سال جاری، یک نسخه بسیار ساده‌شده از NOROBOT شروع به ارائه MAYBEROBOT کرد که از سه دستور پشتیبانی می‌کند:

• دانلود و اجرای پیلودها از یک URL مشخص
• اجرای دستورات از طریق خط فرمان
• اجرای بلوک‌های دلخواه پاورشِل

پس از اجرا، MAYBEROBOT نتایج را به مسیرهای فرماندهی و کنترل (C2) متمایز برمی‌گرداند و به Coldriver در مورد موفقیت عملیاتی بازخورد می‌دهد.

تحلیلگران گوگل اظهار داشتند که ظاهراً توسعه MAYBEROBOT به ثبات رسیده و اکنون عوامل تهدید بیشتر بر اصلاح NOROBOT برای مخفی‌تر و مؤثرتر شدن تمرکز می‌کنند.

محققان متوجه تغییر از پیچیده به ساده‌تر و سپس دوباره به یک زنجیره تحویل پیچیده شدند که کلیدهای رمزنگاری را در چندین مؤلفه تقسیم می‌کند. آنها گفتند که رمزگشایی بار داده نهایی به ترکیب صحیح قطعات بستگی دارد.

گروه اطلاعات تهدید گوگل در گزارش خود اعلام کرد:

«این کار احتمالاً برای دشوارتر کردن بازسازی زنجیره آلودگی انجام شده است زیرا اگر یکی از مؤلفه‌های دانلود شده از دست رفته باشد، بار داده نهایی به درستی رمزگشایی نمی‌شود.»

حملات ColdRiver که NOROBOT و بارهای داده بعدی را به اهداف مورد نظر منتقل می‌کنند، در حملات بین ژوئن و سپتامبر امسال مشاهده شده است.

عملیات ColdRiver به سرویس اطلاعاتی روسیه (FSB) نسبت داده شده است. کارشناسان ادعا کردند که این گروه حداقل از سال ۲۰۱۷ درگیر فعالیت‌های جاسوسی سایبری بوده و علیرغم تلاش‌ها برای جلوگیری از عملیات‌های این گروه هکری از طریق اختلالات زیرساختی، تحریم‌ها و افشای تاکتیک‌های آن، ColdRiver همچنان یک تهدید فعال و در حال تکامل است.

معمولاً این گروه تهدید، بدافزارها را در حملات فیشینگ به کار می‌گیرند و محققان هنوز دلیل روی آوردن هکرها به حملات ClickFix را پیدا نکرده‌اند.

یک توضیح می‌تواند این باشد که ColdRiver اکنون از خانواده‌های بدافزار NOROBOT و MAYBEROBOT در اهدافی استفاده می‌کند که قبلاً از طریق فیشینگ به خطر افتاده‌اند و ایمیل‌ها و مخاطبین را دزدیده‌اند. محققان حدس می‌زنند که هدف قرار دادن مجدد آنها ممکن است برای به دست آوردن ارزش اطلاعاتی اضافی از اطلاعات موجود در دستگاه‌هایشان به طور مستقیم باشد.

گزارش گوگل، شاخص‌های خطر (IoC) و قوانین یارا (YARA) را برای کمک به مدافعان در تشخیص حملات بدافزار ربات فهرست می‌کند.