هکرهای روس پیروزی ترامپ در آمریکا را دستمایه حمله به NGO ها قرار داده اند

the-dukes-apt29-one-of-russia-s-cyber-espionage-hacking-squads-492021-2-w600

موسسه امنیتی Volexity می گوید گروه های هک روسی از جمله The Dukes و Cozy Bear ایمیل هایی با عنوان «تقلب در انتخابات آمریکا» و «اطلاعیه بنیاد کلینتون» ارسال کرده و با استفاده از آنها به روش موسوم به spear-phishing اطلاعات کاربران سرقت می نمایند.

موسسه ولکسیتی تاکنون ۵ موج از این نوع حمله ها را شناسایی کرده که تمرکز اصلی آنها روی NGO غیر دولتی و اتاق فکرهای آمریکایی بوده است.

ولکسیتی می گوید:

برخی از این ایمیل ها توسط حساب های کاربری هکرها روی جیمیل ارسال شده و برای ارسال برخی دیگر، ایمیل های دانشکده هنر و علوم هاروارد که امنیت بالایی نداشته اند مورد استفاده قرار گرفته است.

این ایمیل ها در تیراژ قابل توجهی ارسال شده و بخش عمده دریافت کنندگان آنها، در زمینه هایی مثل امنیت ملی، دفاع، روابط خارجی، سیاست های عمومی و تحقیقات اروپایی و آسیایی فعال هستند.

هکر ها در دو موج از این حملات وانمود کرده اند که ایمیل ارسالی به بنیاد کلینتون تعلق دارد و به تردیدهایی در مورد سلامت انتخابات می پردازد.

در حقیقت هکرهای روس در این ایمیل ها فایل هایی با پسوند .lnk مایکروسافت ضمیمه کرده و از دریافت کنندگان دعوت کرده اند برای کشف حقیقت در مورد پشت پرده ی انتخابات آمریکا آن را مطالعه نمایند.

cozy-link2-bottom-w600

اما در صورت اجرای این فایل توسط کاربر، یک درب پشتی موسوم به PowerDuke روی کامپیوتر فعال شده و آن را در دسترس هکر ها قرار می دهد.

ولکسیتی در اطلاعیه ای که در این زمینه منتشر کرده، توضیح می دهد چرا حملات هکرهای روس از اهمیت بالایی برخوردار است.

گروه Dukes حمله های خود را با دقت بالایی بر اساس مسائل روز انجام می دهد و به همین دلیل به خوبی موفق شده نرم افزارهای ضد ویروس و ضد بدافزار را، هم روی کامپیوتر و هم درگاه های ارسال و دریافت ایمیل، پشت سر گذارد.

علاوه بر این ماکروهای ضد ماشین مجازی و اسکریپت های PowerShell این گروه باعث شده نیاز بسیار کمتری برای رویارویی و عبور از sandbox ها و بات ها وجود داشته باشد و مراحل رسیدن به هدف ساده تر انجام گیرد.

این گروه ضمناً به خوبی موفق شده درب پشتی مورد استفاده توسط خود را مخفی کرده و برای ایجاد دسترسی به کامپیوتر کاربر، فایل های PNG را با استفاده از جزیان های اطلاعاتی جایگزین (ADS) روی حافظه ی سیستم نصب می کنند؛ روشی که خلاقانه و مبتکرانه به حساب می آید.

ولکسیتی در پایان هشدار داده که هکرهای روس احتمالاً با این روش می خواهند یک دسترسی طولانی مدت به کامپیوتر NGO ها و اتاق فکرها ایجاد نمایند تا کامپیوترها و سرورهای نه چندان ایمن آنها را، در آینده برای فعالیت های خود در اختیار داشته باشند.

برچسب ها: back dore, Dukes, spear phishing, امنیت سرور, درب پشتی,

نویسنده: مهدی رزم پور

مهدی رزم پور عاشق برنامه نویسیه ، اگه توی پروگرمینگ درحال پست گذاشتن نباشه احتمالا داره موسیقی گوش میده یا یه گوشه با لپ تاپش عشق میکنه!

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.

کد امنیتی *