جاسوسان سایبری در دام ماهیگیری
شرکت امنیت سایبری ESET اعلام کرده است که گروه OilRig مرتبط با ایران، نرمافزار مخرب جدیدی را برای جمعآوری اطلاعات هویتی از قربانیان اسرائیل ارسال کرده است.
>
گروه APT34 که به نامهای Lyceum یا Siamesekitten هم شناخته میشود، یک گروه جاسوسی سایبری است که معمولاً با ایران مرتبط بوده و حداقل از سال 2014 فعالیت دارد. این گروه به دولتهای خاورمیانه هدفمند است، از جمله بخشهای مختلفی مانند صنایع شیمیایی، انرژی، مالی و ارتباطات.
محققان ESET دو حمله از گروه OilRig APT (تهدید مداوم پیشرفته) مرتبط با ایران را مورد بررسی قرار دادند: "فضای بیرونی" در سال 2021 و "مخلوط شیرین" در سال 2022. هر دو حمله جاسوسی سایبری به ویژه بر سازمانهای اسرائیلی هدفمند بودند. این تمرکز نشان میدهد که این گروه تمرکز خاصی بر منطقه خاورمیانه دارد و از همان روشها استفاده میکند. OilRig در ابتدا امنیت یک وبسایت قانونی را نقض کرد تا از آن به عنوان سرور C&C استفاده کند و سپس در عین حال ابزارهای نفوذ امنیتی ر ا که به طور عمده برای استخراج داده از سیستمهای مورد هدف استفاده میشود، پخش کرد. به ویژه از آنها برای جمعآوری اطلاعات هویتی از Windows Credential Manager و مرورگرهای اصلی، به همراه کوکیها و تاریخچه مرور استفاده میشد.
در حمله "فضای بیرونی"، OilRig از یک backdoor جدید به نام Solar با زبان برنامهنویسی C#/.NET و یک downloader جدید به نام SampleCheck5000 (یا SC5k) استفاده کرد که از رابطهای برنامهنویسی اف افیس مایکروسافت برای ارتباط و کنترل از راه دور استفاده میکرد. هنگامی که اکتورهای تهدید ابتدا امنیت یک وبسایت قانونی منابع انسانی را نقض کردند، از آن به عنوان سرور دستور و کنترل استفاده کردند و سپس backdoorهای نامنظور را ارائه دادند، همچنین ابزارهای نفوذ امنیتی را منتشر کردند که به طور عمده برای استخراج داده از سیستمهای هدف استفاده میشد. به ویژه برای جمعآوری اطلاعات هویتی از Windows Credential Manager و مرورگرهای اصلی، به همراه کوکیها و تاریخچه مرور استفاده میشد.
ESET برای backdoor از نام کد "Solar" استفاده کرد که بر اساس اصطلاحات ریاضی در نامهای عملکرد و وظایف مبتنی است. نام دیگری برای backdoor جدید بر اساس مفهوم داخلی و نام پرونده استفاده شد و آن Mango نامیده شد. Backdoor به نام "Solar" دارای ویژگیهای پایه است. علاوه بر دیگر ویژگیها، میتواند برای دانلود و اجرای پروندهها و همچنین برای استخراج خودکار پروندههای تقسیمبندی شده استفاده شود. قبل از فعالسازی Solar، OilRig از یک وبسایت قانونی شرکت منابع انسانی اسرائیلی به عنوان سرور دستور و کنترل استفاده کرد.
خبرگزاری ایران