هشدار در مورد روش های جدید هک

کمیته رکن چهارم – محققان امنیت سایبری در مورد روش‌های به ظاهر ساده گروه‌های هک هشدار می‌دهند.

گروه‌های هکر مورد حمایت دولت از یک تکنیک جدید ساده، اما مؤثر برای تقویت کمپین‌های فیشینگ برای انتشار بدافزار‌ها و سرقت اطلاعات مورد علاقه دولت‌هایشان استفاده می‌کنند.

محققان امنیت سایبری در Proofpoint می‌گویند که گروه‌های هکری که به نمایندگی از منافع روسیه، چین و هند کار می‌کنند، از قالب متن غنی (Rich Text Format) استفاده می‌کنند.

در حالی که استفاده از پیوست‌های فایل متنی RTF در ایمیل‌های فیشینگ جدید نیست، تکنیکی که توسط هکر‌ها استفاده می‌شود آسان‌تر و موثرتر است، زیرا تشخیص آن برای نرم افزار آنتی ویروس سخت‌تر است و بسیاری از سازمان‌ها فایل‌های RTF را به طور پیش فرض مسدود نمی‌کنند، زیرا آن‌ها بخشی از عملیات روزمره تجاری هستند.

مهاجمان می‌توانند از تزریق قالب RTF برای باز کردن اسناد در مایکروسافت ورد استفاده کنند، که از URL مخرب برای بازیابی استفاده می‌کند در حالی که از Word برای نمایش سند فریب نیز استفاده می‌کند.

به گفته محققان، اولین نمونه شناخته شده از یک گروه APT با استفاده از تزریق الگوی RTF در کمپینی در فوریه ۲۰۲۱ بود. این تزریق‌ها توسط DoNot Team، یک گروه APT که با منافع دولت هند مرتبط است، انجام شد.

از آن زمان، چندین عملیات هک مرتبط با دولت نیز دیده شده اند که تزریق RTF به کار می‌برند. این‌ها شامل یک گروه Proofpoint به نام TA۴۲۳ است که به عنوان Leviathan نیز شناخته می‌شود، که یک گروه ATP است که با چین مرتبط است و از ماه آوریل در چندین کمپین از حملات RTF استفاده کرده است.

در حالی که تنها تعداد معدودی از گروه‌های APT تا کنون تلاش کرده‌اند حملات مبتنی بر RTF را به کار گیرند، محققان هشدار می‌دهند که اثربخشی این تکنیک همراه با سهولت استفاده از آن احتمالاً پذیرش آن را در سراسر چشم‌انداز تهدید بیشتر می‌کند و این می‌تواند به معنای استفاده کمپین‌هایی از این تکنیک باشد. توسط مجرمان سایبری با انگیزه مالی پذیرفته شده اند.

منبع: نبض فناوری