پژوهشگران امنیتی اعلام کردند چندین گروه جاسوسی سایبری فعالیت خود را از سر گرفتهاند.
منبع : سایبربان
پژوهشگران امنیتی اعلام کردند چندین گروه جاسوسی سایبری فعالیت خود را از سر گرفتهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران به تازگی اعلام کردند سه گروه جاسوسی سایبری مادی واتر (MuddyWater)، فین ۸ (Fin8) و پلاتینیوم (Platinum) در چند هفته گذشته مجدداً فعال شده و اقدامات مخرب خود را افزایش دادهاند.
کارشناسان ترندمیکرو توضیح دادند بررسی سامانههای چندین شرکت نشان میدهد که گروه مادی واتر به آنها حمله کردهاست؛ اما اینبار از شیوه حمله جدیدی بر پایه پاورشل استفاده شدهاست که یک back door به نام « POWERSTATS v3» به وجود میآورد. این حمله از طریق ارسال یک ایمیل فیشینگ آغاز میشود. این پیامها محلهایی مانند دانشگاهی در جوردن و دولت ترکیه را هدف قرار دادهاند. محتوای آنها شامل فایلهایی آلوده شده به بدافزار هستند که پس از دریافت شدن به نصب back door روی سیستم قربانی میپردازند.
پس از نصب شدن back door، مرحله دوم حمله آغاز میشود که در طی آن یک back door دیگر نیز ایجاد میشود. در این مرحله بدافزار قابلیت گرفتن اسکرینشات و ارسال دستورهای اجرای در سیستم را به دست میآورد.
ترند میکرو گزارش داد: در حالی که به نظر میرسد مادی واتر به آسیبپذیریهای روز صفرم و انواع بدافزارهای پیشرفته دسترسی نداشتهباشد، موفق شدهاست اهداف خود را با خطر مواجه کند. این موضوع را میتوان با توجه به توسعه شیوههای حمله مشاهده کرد. بهخصوص که اعضای آن از یک ایمیل آلوده بهره گرفته و به موفقیت دست پیدا میکنند. درنتیجه شرکتها علاوهبر استفاده از روشهای امنیتی ایمیل هوشمند باید به کارمندان خود در رابطه با ایمن ماندن در برابر تهدیدات ایمیلی آموزش بدهد.
محققان Morphisec شرح دادند برخلاف مادی واتر، فین ۸ نخستینبار در سال ۲۰۱۹ شناسایی شد. این گروه نوع جدید و پیچیدهای از بَک دُر ShellTea/PunchBuggy را با هدف نصب بدافزار Point-of-sale در یک شرکت فعال صنعت هتلداری بهکار میگیرد. با توجه به ابزارهای به کار رفته در این حمله کارشناسان آن را به فین ۸ نسبت میدهند. با وجود این تعدادی از زیرساختها و آدرسهای اینترنتی به کار گرفته شده با گروه فین ۷ همپوشانی دارند. فین ۸ به منظور نصب بکدر و به حفظ پایداری کمپین خود از ایمیل فیشینگ بهرهمیگیرد.
تحلیلگران شرکت کسپرسکی نیز در زمان بررسی حملات انجامشده به دولتها و سازمانهای نظامی واقع در جنوب و جنوب شرق آسیا، گروه پلاتینیوم را شناسایی کردند. این گروه نیز از دانلودر پاورشل و سرویسهای میزبانی رایگان بهره میگیرند. بدافزار بهکار رفته توسط این گروه قادر است همه ارتباطات برقرار شده با سرور فرماندهی و کنترل را مخفی کند.
بر اساس تحقیقات صورت گرفته بدافزار بکدر یاد شده در دو مرحله حمله میکند. در هر دو حمله به منظور ذخیرهسازی دادههای به سرقت رفته از یک دامنه مشابه استفاده میشود. به علاوه تعدادی از قربانیان تحتتأثیر هر دو مرحله قرار گرفتهاند.