آغاز فعالیت مجدد گروه های جاسوسی سایبری

کمیته رکن چهارم – پژوهشگران امنیتی اعلام کردند چندین گروه جاسوسی سایبری فعالیت خود را از سر گرفته‌اند.

پژوهشگران به تازگی اعلام کردند ۳ گروه جاسوسی سایبری مادی واتر (MuddyWater)، فین ۸ (Fin8) و پلاتینیم (Platinum) در طی چند هفته‌ی گذشته مجدداً فعال شده و اقدامات مخرب خود را افزایش داده‌اند.

کارشناسان ترند میکرو توضیح دادند بررسی سامانه‌های چندین شرکت نشان می‌دهد که گروه مادی واتر به آن‌ها حمله کرده است؛ اما در این نوبت از شیوه‌ی حمله‌ی جدیدی بر پایه پاور شل استفاده شده است که یک درب پشتی به نام « POWERSTATS v3» به وجود می‌آورد. این حمله از طریق ارسال یک ایمیل فیشینگ آغاز می‌گردد. این پیام‌ها محل‌هایی مانند دانشگاهی در جوردن و دولت ترکیه را هدف قرار داده‌اند. محتوای آن‌ها شامل فایل‌هایی آلوده شده به بدافزار هستند که پس از دریافت شدن به نصب درب پشتی روی سیستم قربانی می‌پردازند.

پس از نصب شدن درب پشتی، مرحله‌ی دوم حمله آغاز می‌گردد که در طی آن یک درب پشتی دیگر نیز ایجاد می‌شود. در این مرحله بدافزار قابلیت گرفتن اسکرین‌شات و ارسال دستورهای اجرای در سیستم را به دست می‌آورد.

ترند میکرو گزارش داد:

 در حالی که به نظر می‌رسد مادی واتر به آسیب‌پذیری‌های روز صفرم و انواع بدافزارهای پیشرفته دسترسی نداشته باشد، موفق شده است اهداف خود را با خطر مواجه کند. این موضوع را می‌توان با توجه به توسعه‌ی شیوه‌های حمله مشاهده کرد. به‌خصوص که اعضای آن از یک ایمیل آلوده بهره گرفته و به موفقیت دست پیدا می‌کنند. در نتیجه شرکت‌ها علاوه بر استفاده از روش‌های امنیتی ایمیل هوشمند، باید به کارمندان خود در رابطه با ایمن ماندن در برابر تهدیدات ایمیلی آموزش بدهد.

 

محققان «Morphisec» شرح دادند برخلاف مادی واتر، فین ۸ اولین بار در سال ۲۰۱۹ شناسایی شد. این گروه نوع جدید و پیچیده‌ای از درب پشتی «ShellTea/PunchBuggy»  را با هدف نصب بدافزار «Point-of-sale » در یک شرکت فعال صنعت هتل داری به کار می‌گیرد. با توجه به ابزارهای به کار رفته در این حمله کارشناسان آن را به فین ۸ نسبت می‌دهند. با وجود این تعدادی از زیرساخت‌ها و آدرس‌های اینترنتی به کار گرفته شده با گروه فین ۷ همپوشانی دارند. فین ۸ به منظور نصب درب پشتی و به حفظ پایداری کمپین خود از ایمیل فیشینگ بهره می‌گیرد.

تحلیلگران شرکت کسپرسکی نیز در زمان بررسی حملات انجام شده به دولت‌ها و سازمان‌های نظامی واقع در جنوب و جنوب شرق آسیا، گروه پلاتینیم را شناسایی کردند. این گروه نیز از دانلودر پاور شل و سرویس‌های میزبانی رایگان بهره می‌گیرند. بدافزار به کار رفته توسط این گروه قادر است همه‌ی ارتباطات برقرار شده با سرور فرماندهی و کنترل را مخفی کند.

بر اساس تحقیقات صورت گرفته بدافزار درب پشتی یاد شده در ۲ مرحله حمله می‌کند. در هر ۲ حمله به منظور ذخیره‌سازی داده‌های به سرقت رفته از یک دامنه‌ی مشابه استفاده می‌شود. به علاوه تعدادی از قربانیان تحت تأثیر هر ۲ مرحله قرار گرفته‌اند.

منبع : سایبربان