بازگشت جاسوسان سایبری نام‌آشنا
چند گروه هکری قدیمی دوباره فعال شدند
کد مطلب: 15449
تاریخ انتشار : چهارشنبه ۲۲ خرداد ۱۳۹۸ ساعت ۰۸:۵۹
 
پژوهشگران امنیتی اعلام کردند چندین گروه جاسوسی سایبری فعالیت خود را از سر گرفته‌اند.
چند گروه هکری قدیمی دوباره فعال شدند
 
 
Share/Save/Bookmark
پژوهشگران امنیتی اعلام کردند چندین گروه جاسوسی سایبری فعالیت خود را از سر گرفته‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران به تازگی اعلام کردند سه گروه جاسوسی سایبری مادی واتر (MuddyWater)، فین ۸ (Fin8) و پلاتینیوم (Platinum) در  چند هفته‌ گذشته مجدداً فعال شده و اقدامات مخرب خود را افزایش داده‌اند.

کارشناسان ترندمیکرو توضیح دادند بررسی سامانه‌های چندین شرکت نشان می‌دهد که گروه مادی واتر به آنها حمله کرده‌است؛ اما این‌بار از شیوه‌ حمله‌ جدیدی بر پایه پاورشل استفاده شده‌است که یک back door به نام « POWERSTATS v3» به وجود می‌آورد. این حمله از طریق ارسال یک ایمیل فیشینگ آغاز می‌شود. این پیام‌ها محل‌هایی مانند دانشگاهی در جوردن و دولت ترکیه را هدف قرار داده‌اند. محتوای آنها شامل فایل‌هایی آلوده شده به بدافزار هستند که پس از دریافت شدن به نصب back door روی سیستم قربانی می‌پردازند.

پس از نصب شدن back door، مرحله‌ دوم حمله آغاز می‌شود که در طی آن یک back door دیگر نیز ایجاد می‌شود. در این مرحله بدافزار قابلیت گرفتن اسکرین‌شات و ارسال دستورهای اجرای در سیستم را به دست می‌آورد.

ترند میکرو گزارش داد: در حالی که به نظر می‌رسد مادی واتر به آسیب‌پذیری‌های روز صفرم و انواع بدافزارهای پیشرفته دسترسی نداشته‌باشد، موفق شده‌است اهداف خود را با خطر مواجه کند. این موضوع را می‌توان با توجه به توسعه‌ شیوه‌های حمله مشاهده کرد. به‌خصوص که اعضای آن از یک ایمیل آلوده بهره گرفته و به موفقیت دست پیدا می‌کنند. درنتیجه شرکت‌ها علاوه‌بر استفاده از روش‌های امنیتی ایمیل هوشمند باید به کارمندان خود در رابطه با ایمن ماندن در برابر تهدیدات ایمیلی آموزش بدهد.

محققان Morphisec شرح دادند برخلاف مادی واتر، فین ۸ نخستین‌بار در سال ۲۰۱۹ شناسایی شد. این گروه نوع جدید و پیچیده‌ای از بَک دُر ShellTea/PunchBuggy را با هدف نصب بدافزار Point-of-sale در یک شرکت فعال صنعت هتل‌داری به‌کار می‌گیرد. با توجه به ابزارهای به کار رفته در این حمله کارشناسان آن را به فین ۸ نسبت می‌دهند. با وجود این تعدادی از زیرساخت‌ها و آدرس‌های اینترنتی به کار گرفته شده با گروه فین ۷ هم‌پوشانی دارند. فین ۸ به منظور نصب بک‌در و به حفظ پایداری کمپین خود از ایمیل فیشینگ بهره‌می‌گیرد.

تحلیلگران شرکت کسپرسکی نیز در زمان بررسی حملات انجام‌شده به دولت‌ها و سازمان‌های نظامی واقع در جنوب و جنوب شرق آسیا، گروه پلاتینیوم را شناسایی کردند. این گروه نیز از دانلودر پاورشل و سرویس‌های میزبانی رایگان بهره می‌گیرند. بدافزار به‌کار رفته توسط این گروه قادر است همه‌ ارتباطات برقرار شده با سرور فرماندهی و کنترل را مخفی کند.

بر اساس تحقیقات صورت گرفته بدافزار بک‌در یاد شده در دو مرحله حمله می‌کند. در هر دو حمله به منظور ذخیره‌سازی داده‌های به سرقت رفته از یک دامنه‌ مشابه استفاده می‌شود. به علاوه تعدادی از قربانیان تحت‌تأثیر هر دو مرحله قرار گرفته‌اند.
مرجع : سایبربان