کمیته رکن چهارم – کارشناسان امنیتی گروه هکری جدیدی به نام «DarkUniverse» شناسایی کردهاند که سازمانهای نظامی را هدف قرار میدهد.
بهتازگی کارشناسان آزمایشگاه کسپرسکی گروه هکری جدیدی به نام دارک یونیورس (DarkUniverse) شناسایی کردهاند که سازمانهای نظامی و غیرنظامی را در کشورهای سوریه، ایران، افغانستان، تانزانیا، اتیوپی، سودان، روسیه، بلاروس و امارات متحده عربی هدف قرار داده است. به گفته کارشناسان این آژمایشگاه، گروه جرائم سایبریThe ShadowBrokers در سال ۲۰۱۷ آرشیوی از بدافزار و ابزارهای هکری منتشر کرد که از گروه Equation Group متعلق به آژانس امنیت ملی ایالاتمتحده آمریکا به سرقت برده بود. این آرشیو همچنین حاوی اسکریپتی بود که راه را برای شناسایی نوعی از گروه ایپیتی به نام دارک یونیورس هموار کرد. طبق گزارشات آزمایشگاه، این گروه به مدت ۸ سال از ۲۰۰۹ تا ۲۰۱۷ فعال بوده و از طریق کمپینهای مخرب ItaDuke، اکسپلویتهای روز صفر و آسیبپذیریهای اسناد پیدیاف، اقدام به نفوذ برنامه های مخرب کرده و از حسابهای کاربری توییتر نیز جهت ذخیره آدرسهای URL و سرور C&C سوءاستفاده کرده است.
گروه دارک یونیورس جهت توزیع برنامههای مخرب از حملات فیشینگ هدفمند استفاده کرده و برای هر قربانی یک ایمیل مجزا بهمنظور جلبتوجه آن و یا واداشتن آن به باز کردن سند پیوست مخرب مایکروسافت آفیس اختصاص داده است. هر نمونه بدافزار بلافاصله پیش از ارسال، کامپایل شده و حاوی آخرین نسخه فایل اجرایی بدافزار است. بدافزارهای موجود در اسناد شامل دو ماژول مخرب آپدیترماد (Updater.mod) و glue30.dll هستند که اولی مسئولیت برقراری ارتباط با سرور کنترل و فرمان (C&C)، ماندگاری برنامههای مخرب و نیز هدایت دیگر ماژولهای مخرب را بر عهده داشته و دومی بهعنوان کیلاگر عمل میکند. ماژول آپدیترماد تعدادی ماژول اضافی را منجمله dfrgntfs5.sqt جهت اجرای دستورات سرور C&C، ماژول msvcrt58.sqt جهت سرقت اعتبارنامهها و محتوای پستهای الکترونیکی و zl4vq.sqt بهعنوان کتابخانه مجاز zlib و مورداستفاده توسط ماژول dfrgntfs5 و %tims_ID%.upe.upe بهعنوان پلاگین اضافی برای dfrgntfs5 بارگذاری میکند.
ماژول مخرب glue30.dll اقدام به کیلاگینگ کرده و اطلاعات تایپشده توسط کاربر را سرقت میکند. ماژول آپدیترماد همچنین از عملکرد SetWindowsHookExW Win API جهت ردیابی و ذخیره کلیدهای فشردهشده بر روی صفحهکلید و اجرای glue30.dll در فرآیندهایی دریافت اطلاعات واردشده از صفحهکلید استفاده میکند. ماژول msvcrt58.sqt ترافیک رمزگذاری نشده مربوط به پروتکل POP3 را جهت جمعآوری پیامهای ایمیل و دادههای حسابهای کاربری قربانی، سرقت و تحلیل کرده و نتیجه را به ماژول اصلی یعنی آپدیترماد جهت بارگذاری در سرور کنترل و فرمان ارسال میکند. ماژول dfrgntfs5.sqt نیز کاربردیترین ابزار گروه دارک یونیورس است که فهرست عظیمی از دستورات سرور کنترل و فرمان را پردازش میکند.
منبع : سایبربان
