انتشار شده در تاریخ 1403/03/16 - 13:16

وزارت دفاع اوکراین هدف هکرهای بلاروس

هکرهای بلاروس در یک عملیات جدید جاسوسی وزارت دفاع اوکراین و یک پایگاه نظامی را هدف قرار دادند.

به گزارش کارگروه حملات سایبری سایبربان؛ به گفته محققان، هکرهای تحت حمایت بلاروس در یک عملیات جدید جاسوسی سایبری، وزارت دفاع اوکراین و یک پایگاه نظامی را هدف قرار دادند.

آنها این حملات را به عامل تهدید «Ghostwriter»، یک گروه مرتبط با بلاروس که به خاطر حملاتش به اوکراین، لیتوانی، لتونی و لهستان معروف است، نسبت دادند. در آخرین کمپین، که در ماه آوریل توسط محققان شرکت امنیت سایبری «Cyble» مشاهده شد، هکرها ایمیل‌های فیشینگ را با پیوستی حاوی فایل‌های تصویر هواپیمای بدون سرنشین و صفحه‌گسترده مخرب مایکروسافت اکسل، به اهداف خود ارسال کردند.

محققان گفتند که قربانیان را براساس محتوای اسناد فریب شناسایی کردند.

Cyble در گزارشی توضیح داد که وقتی قربانیان فایل xls. را باز می‌کنند، دکمه‌ای با عنوان «فعال کردن محتوا» روی صفحه نمایش آن‌ها ظاهر می‌شود. پس از کلیک روی آن، یک ماکرو «VBA» تعبیه شده در سند اجرا می‌شود و به هکرها این امکان را می‌دهد تا بارهای مخرب را تحویل دهند، داده‌ها را سرقت کنند و به سیستم‌ها دسترسی غیرمجاز یابند.

در طول تجزیه و تحلیل، Cyble نتوانست بار نهایی را بازیابی کند، اما مدعی شد که احتمالاً شامل «AgentTesla»، «Cobalt Strike beacons» و «njRAT» است، همانطور که در کمپین های قبلی Ghostwriter دیده شد.

Ghostwriter که با نام‌های «UNC1151» و «Storm-0257» نیز ردیابی می‌شود، حداقل از سال 2017 فعال بوده است. این گروه هکری قبلاً پرسنل نظامی اوکراین و خدمات دولتی لهستان را هدف قرار داده است. این گروه عمدتاً عملیات فیشینگ را انجام می‌دهد که اعتبار ورود به ایمیل را می‌دزدد، وب‌سایت‌ها را در معرض خطر قرار می‌دهد و بدافزارها را توزیع می‌کند.

محققان Cyble معتقدند که Ghostwriter به طور مداوم اوکراین را هدف قرار می‌دهد و تکنیک‌های خود را برای فرار از شناسایی به‌روزرسانی می‌کند. در آخرین کمپین‌ها، انگیزه اصلی این گروه احتمالاً سرقت اطلاعات و دسترسی از راه دور به سیستم‌های آلوده بود.

تیم واکنش اضطراری رایانه‌ای اوکراین (CERT-UA) در مورد حملات سایبری علیه پرسنل نظامی و خدمات دفاعی اوکراین با استفاده از بدافزار «DarkCrystal» هشدار داد که می‌تواند به مهاجمان اجازه دسترسی از راه دور به دستگاه قربانی را بدهد.

این عامل تهدید که به عنوان «UAC-0200» ردیابی می‌شود، از برنامه پیام‌رسان سیگنال برای ارائه فایل‌های مخرب به قربانیان خود استفاده می‌کند. هکرها به عنوان افرادی ظاهر شدند که کاربران هدف ممکن است آنها را بشناسند تا پیام‌هایشان قابل اعتمادتر به نظر برسد.
به گفته تیم واکنش اضطراری رایانه‌ای اوکراین، مجرمان سایبری برای قربانیان خود یک آرشیو و یک رمز عبور برای دسترسی به آن ارسال کردند و از آنها خواستند که آن را فقط روی رایانه خود باز کنند.

تیم واکنش اضطراری رایانه‌ای اوکراین در گزارشی که در ماه می امسال منتشر شد، گفت که تعداد حوادث علیه اوکراین در 2 سال گذشته به طور پیوسته در حال افزایش بوده و هکرها در هدف‌گیری بهتر شده‌اند؛ آن‌ها از آخرین آسیب‌پذیری‌ها سوء استفاده و حملات خود را با رویدادها و اخبار روز همسو می‌کنند تا توجه و رضایت احتمالی اهداف را افزایش دهند. براساس این گزارش، ارتش اوکراین و همچنین زیرساخت‌های حیاتی این کشور از جمله مهم‌ترین اهداف هکرها هستند.