• info@arka.ir
  • تماس با ما: 02191300476 - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷
4 آگوست 2021

بر اساس گزارش آرمور بلاکس، مجرمان سایبری سیستم میزبانی و اشتراک گذاری فایل WeTransfer را جعل می کنند تا حملات فیشینگ را انجام دهند. حملات فیشینگی که در آن، ایمیل های جعلی کاربر را به سمت یک صفحه فیشینگ با نام و برند Microsoft Excel هدایت میکند.

هدف اصلی این حمله بازیابی و به دست آوردن اعتبارنامه های ایمیل Office 365 قربانیان است. لازم به ذکر است که WeTransfer برای به اشتراک گذاری فایل هایی استفاده می شود که حجم آنها برای ارسال از طریق ایمیل زیاد است.

درباره حمله

به نظر می رسد ایمیل فیشینگ توسط WeTransfer ارسال می شود چرا که نام فرستنده Wetransfer را با خود دارد و عنوانی با توضیح View Files Sent Via WeTransfer را در خود جای داده است. همین شباهت کافی است تا چنین ایمیلی به عنوان یک ایمیل واقعی از WeTransfer به چشم مخاطب بخورد و به راحتی بتوان از این طریق کاربران ناشناس را فریب داد. بدنه و ساختار ایمیل همچنین چندین اشاره به شرکت هدف می کند تا از نظر ظاهری، مشروع به نظر برسد.

به گزارش هک رید، متن ایمیل نشان می دهد که WeTransfer دو فایل را با قربانی به اشتراک گذاشته است و همچنین لینکی برای مشاهده آنها نیز در این ایمیل وجود دارد. وقتی قربانی روی View Files کلیک می کند، لینک موجود در این صفحه، او را به صفحه فیشینگی با ظاهر Microsoft Excel هدایت می نماید.

علاوه بر این، در پس زمینه یک صفحه اطلاعات و جدول مبهم و مات نشان داده میشود و یک فرم نیز در پیش زمینه ارائه داده می شود که از قربانی میخواهد تا اعتبارنامه های ورود به سیستم را وارد کند. این فرم آدرس ایمیل قربانی را برای ایجاد حس مشروع و صحیح بود، در خود جای داده است.

تکنیک های مورد استفاده در حمله فیشینگ
مارک رویال از آرمور بلاکس، در یک پست وبلاگی نوشته است: از طیف وسیعی از تکنیک ها برای فرار از فیلترهای امنیتی رایج ایمیل و جلب کاربران غیرمشکوک استفاده شده است. این موارد شامل مهندسی اجتماعی می شود، زیرا عنوان ایمیل، محتوا و نام فرستنده برای ایجاد حس “اعتماد و ضرورت در قربانیان” طراحی شده است.

یکی دیگر از تکنیک های مورد استفاده در این کمپین، جعل هویت نام تجاری است. ظاهر HTML ایمیل بسیار شبیه WeTransfer است و صفحه فیشینگ طوری طراحی شده است که به عنوان صفحه ورود قانونی Microsoft Excel ظاهر شود. تنها چیزی که باعث می شود این صفحه مشکوک ظاهر شود این است که مایکروسافت با شکل و عنوان MicroSoft نوشته شده است.

 

چگونه از این حمله در امان بمانیم؟
به ناسازگاری ها و ناهماهنگی های جزئی در نام فرستنده، آدرس ایمیل و نام دامنه بسیار توجه کنید. به زبان مورد استفاده در ایمیل توجه کنید. پیاده سازی احراز هویت چند عاملی (MFA) در تمام حساب های شخصی و تجاری را فراموش نکنید. و هرگز از رمز عبور یکسان برای دسترسی به حساب های مختلف استفاده ننمایید.

2 آگوست 2021

محققان امنیت سایبری روز جمعه از زیرساخت های جدید command-and-control (C2) متعلق به عامل تهدیدکننده روسی با نام APT29، معروف به Cozy Bear، که به طور فعال در حال ارائه سرویس به بدافزار WellMess به عنوان بخشی از یک کمپین حمله مداوم، رونمایی و افشاگری کردند.

شرکت RiskIQ که زیرمجموعه شرکت امنیت سایبری متعلق به مایکروسافت است، در گزارشی که با خبرگزاری ها به اشتراک گذاشته، بیان کرده است که بیش از ۳۰ سرور C2 که توسط اطلاعات خارجی روسیه اداره می شده، کشف شده است.

به نظر می رسد APT29 (نامی است که به عوامل دولتی که برای سرویس اطلاعات خارجی روسیه (SVR) کار می کنند اطلاق میشود)، مغز متفکر حمله بزرگ زنجیره تامین SolarWinds که در اواخر سال گذشته آشکار شد، میباشد و دولتهای انگلیس و ایالات متحده به شکل رسمی از اوایل آوریل امسال، روسیه را مسئول این اتفاقات دانسته اند.

این فعالیت توسط جامعه امنیت سایبری تحت اسم رمزهای مختلف، از جملهUNC2452 (FireEye) ،Nobelium (Microsoft) ،SolarStorm (Unit 42) ، StellarParticle (Crowdstrike) ،Dark Halo (Volexity) و Iron Ritual (Secureworks)، با استناد به تفاوت هایشان در تاکتیک ها، تکنیک ها و رویه هایی (TTPs) که توسط عامل مخرب با پروفایل مهاجم و با عنوان APT29 به کار‌ میرود، شناخته میشوند.

به نقل از هکر نیوز، بدافزاز WellMess (معروف به WellMail) که برای اولین بار توسط JPCERT/CC ژاپن در سال ۲۰۱۸ در کمپین های جاسوسی که توسط عامل تهدید برای سرقت مالکیت معنوی از چندین سازمان درگیر در فرایند تحقیق و توسعه واکسن COVID-19 در انگلستان، ایالات متحده و کانادا، شناسایی شد.

مرکز ملی امنیت سایبری بریتانیا (NCSC) در توصیه نامه امنیتی که در جولای سال ۲۰۲۰ منتشر شد، خاطرنشان کرده است: “این گروه از ابزارها و تکنیک های مختلفی برای هدف گیری عمدتاً اهداف دولتی، دیپلماتیک، اتاق های فکر، سیستم های سلامت و انرژی برای دستیابی به اطلاعات استفاده می کند.”.

موسسه RiskIQ گفت که تحقیقات خود را در مورد زیرساخت های حمله APT29 پس از افشای عمومی در مورد سرور WellMess C2 جدید در ۱۱ ژوئن آغاز کرد، که منجر به کشف دسته ای با حدود کمتر از ۳۰ سرور فعال C2 شد. اگرچه مشخص نیست که چگونه از این سرورها استفاده می شود و اهداف آنها چه کسانی هستند، اما اعتقاد بر این است که یکی از سرورها در ۹ اکتبر ۲۰۲۰ فعال بوده است.

این اولین بار نیست که RiskIQ ردپای command-and-control مربوط به هکرهای SolarWinds را شناسایی می کند. در ماه آوریل، مجموعه دیگری از ۱۸ سرور که با درصد اطمینان بالایی احتمالاً با اهدافشان از طریق دیتاهای Cobalt Strike ثانویه که توسط بدافزار TEARDROP و RAINDROP در حملات مستقر شده بود ارتباط برقرار می کردند، کشف شدند.

کوین لایولی، مدیر اطلاعات تهدید RiskIQ گفت: “تیم اطلس RiskIQ با اطمینان بالایی ارزیابی کرده است که این آدرس ها و گواهینامه های IP توسط APT29 در حال استفاده فعال هستند. ما نتوانستیم بدافزاری را که با این زیرساخت ارتباط برقرار میکند، پیدا کنیم، اما گمان می کنیم که شبیه نمونه های شناسایی شده قبلی باشد.”.

14 جولای 2021

محققان امنیت سایبری نسبت به ادامه بازگشت بدافزار مخرب TrickBot به عرصه فضای سایبری هشدار داده و به صراحت اعلام کرده اند که گروه فراملی جرایم سایبری مستقر در روسیه در واکنش به تلاش های متقابل اخیر سازمان تامین امنیت، در پشت صحنه این بدافزار تلاش می کند تا زیرساخت های خود را برای حمله دوباره بهبود بخشیده و بازسازی کند.

کمپانی Bitdefender در یک مقاله فنی که روز دوشنبه منتشر شد که حاکی از افزایش پیچیدگی تاکتیکهای این گروه بود، بیان داشت: “از قابلیت های جدید کشف شده و با استفاده از یک پروتکل ارتباطی سفارشی برای پنهان کردن انتقال داده ها بین سرورها (command-and-control) و قربانیان، برای نظارت و جمع آوری اطلاعات مربوط به قربانیان استفاده می گردد که این مسئله تشخیص حملات را دشوار کرده است”.

محققان خاطرنشان کردند: “Trickbot هیچ نشانه ای از کاهش روند سرعت، از خود نشان نداده است”.

بات نت ها (Botnets) هنگامی تشکیل می شوند که صدها یا هزاران دستگاه هک شده در شبکه ای که توسط اپراتورهای خرابکار اداره می شود، مورد استفاده قرار گیرند و اغلب برای حملات denial-of-network به مشاغل و زیرساخت های مهم بوسیله ایجاد ترافیک جعلی با هدف غیر فعال کردن و آفلاین کردن آنها استفاده می شوند. از سویی با کنترل این دستگاه ها، عاملان مخرب همچنین می توانند از بات نت ها برای گسترش بدافزار و هرزنامه و یا استقرار باج افزار رمزگذاری فایل در رایانه های آلوده استفاده کنند.

بدافزار TrickBot نیز تفاوتی از این نظر ندارد. باند مشهور جرایم رایانه ای در پشت این عملیات قرار دارند (که Wizard Spider نامیده می شود) سابقه بهره برداری از تجهیزات های آلوده برای سرقت اطلاعات حساس، گردش جانبی در سراسر شبکه و حتی تبدیل شدن به یک لودر برای بدافزارهای دیگر مانند باج افزار را دارد؛ و در حالی این اقدامات را انجام میدهد که به طور توامان زنجیره آلودگی خود را با افزودن ماژول هایی با قابلیت جدید برای افزایش کارایی آن نیز گسترش می دهد.

آزمایشگاه Black Lotus لومن در اکتبر گذشته اعلام کرد: “TrickBot برای استفاده یک زیرساخت پیچیده ایجاد شده است که سرورهای شخص ثالث را به خطر می اندازد و از آنها برای میزبانی بدافزار استفاده می کند. این بدافزار همچنین وسایل مصرفی مانند روترهای DSL را آلوده میکند و اپراتورهای خرابکار آن به طور مداوم آدرس IP و میزبان آلوده خود را عوض میکنند تا با این اختلال امکان کشف جرم آنها تا حد ممکن دشوار شود”.

این بات نت از دو تلاش برای غیرفعالسازی مایکروسافت و فرماندهی سایبری ایالات متحده در حالی که اپراتورها در حال ساخت اجزای میان افزار بودند که می توانست به هکرها اجازه دهد یک backdoor در Unified Extensible Firmware Interface (UEFI) نصب کنند، فرار کرده است. و همچنین این امکان را برای آنها فراهم میکرد که از احتمال شناسایی توسط آنتی ویروس رهایی یافته، از بروزرسانی نرم افزار جلوگیری کنند و یا حتی سیستم عامل را بطور کامل پاک کنند و یا اینکه سیستم عامل رایانه را مجددا نصب نماید.

اکنون طبق گفته Bitdefender، عامل تهدید به طور فعال در حال توسعه یک نسخه به روز شده از یک ماژول به نام “vncDll” است که آن را در برابر اهداف با ویژگی های سطح بالا برای نظارت و جمع آوری اطلاعات به کار می برد. نسخه جدید نیز “tvncDll” نامگذاری شده است.

ماژول جدید برای برقراری ارتباط با یکی از نه سرور فرمان و کنترل (C2) تعریف شده در فایل پیکربندی آن استفاده شده است، و از آن برای بازیابی مجموعه ای از دستورات حمله، دانلود payload های بیشتر بدافزارها و بازگشت سیستم به عقب و سرور استفاده می شود. علاوه بر این، محققان گفته اند که آنها “ابزاری برای مشاهده” که مهاجمان برای ارتباط با قربانیان از طریق سرورهای C2 استفاده می کنند را شناسایی کردند.

گرچه تلاش برای از بین بردن عملیات این باند به طور کامل موفقیت آمیز نبوده است، اما مایکروسافت به دیلی بیست گفت که با ارائه دهندگان خدمات اینترنت (ISP) کار می کند تا خانه به خانه روترهای سازگار با بدافزار Trickbot در برزیل و آمریکای لاتین را جایگزین نماید؛ که این عمل باعث گردید که به طور موثری بدافزار Trickbot از زیرساخت های افغانستان خارج و بیرون رانده شود.

  • 1
  • 2