مجوزهای چند دستگاه (تخفیف حجمی)
Threat Database Advanced Persistent Threat (APT) SideWind APT

SideWind APT

تا GoldSparrow در Advanced Persistent Threat (APT)
ترجمه به:
فارسی

SideWind نامی است که به گروهی از هکرها (APT) اختصاص داده شده است که علاقه پایداری به منطقه جنوب آسیا نشان داده‌اند. این گروه در حال حاضر درگیر یک کمپین حمله گسترده علیه اهداف در همان منطقه است. به طور خاص، هکرها در تلاش هستند تا نهادهایی را که عمدتاً در نپال و افغانستان واقع شده اند به خطر بیاندازند. اهداف تایید شده شامل ارتش نپالی، وزارتخانه های دفاع و امور خارجه نپال، وزارت دفاع سریلانکا، شورای امنیت ملی افغانستان و کاخ ریاست جمهوری در افغانستان است. SideWind APT در عملیات خود توانایی در ترکیب سریع رویدادهای جهانی و مسائل سیاسی خاص منطقه جنوب آسیا را در کمپین های فیشینگ و بدافزار خود نشان می دهد. این گروه قبلاً در چندین عملیات تهدیدآمیز از همه‌گیری کووید-19 استفاده کرده است، در حالی که آخرین کمپین همچنین شامل پیوندهایی به مقاله‌ای به نام «هند باید بفهمد که چین هیچ ارتباطی با موضع نپال در قبال لیپولخ ندارد» و سندی به نام «سفیر یانچی» را نیز در بر می‌گیرد. مکالمه با Nepali_Media.pdf.' این سند حاوی مصاحبه ای با سفیر چین در نپال در مورد کووید-19، طرح کمربند، جاده و مسائل سرزمینی در منطقه هوملا است.

سرقت اعتبار و ایمیل های فیشینگ

عملیات APT SideWind که در حال حاضر در حال انجام است شامل چندین بردار حمله است که هدف آنها دستیابی به چندین هدف متمایز است. ابتدا، SideWind APT کپی های جعلی از صفحات ورود واقعی را با هدف جمع آوری اعتبار کاربران هدف ایجاد کرد. به عنوان مثال، محققان infosec کشف کردند که "mail-nepalgovnp.duckdns.org" برای معرفی به عنوان دامنه قانونی دولت نپال واقع در "mail.nepal.gov.np" ایجاد شده است. پس از جمع‌آوری اعتبار، قربانیان به صفحات ورود واقعی یا به اسنادی که قبلاً ذکر شد که در مورد مسائل کلیدی بحث می‌کنند، هدایت می‌شوند.

طرف دیگر حمله SideWind APT شامل توزیع بدافزار - یک تهدید در پشتی و جمع‌آوری اطلاعات، از طریق انتشار ایمیل‌های فیشینگ است. عفونت شامل یک زنجیره حمله پیچیده است که شامل چندین مرحله و چندین قطره چکان است. این حمله می تواند دو سناریو متفاوت را دنبال کند:

  • تحویل اولیه یک فایل lnk که یک فایل rtf. و یک فایل جاوا اسکریپت را دانلود می کند.
  • تحویل اولیه یک بایگانی zip. حاوی یک فایل lnk. تهدید کننده. lnk. مرحله بعدی حمله را با واکشی یک فایل hta با جاوا اسکریپت آغاز می کند.

فایل‌های rtf از آسیب‌پذیری CVE-2017-11882 سوء استفاده می‌کنند، که به عامل تهدید اجازه می‌دهد تا بدون نیاز به هرگونه تعامل کاربر، کدهای تهدیدکننده دلخواه را روی دستگاه اجرا کند. اگرچه این اکسپلویت خاص در سال 2017 برطرف شد، اما مجرمان سایبری همچنان از آن استفاده می‌کنند، زیرا می‌تواند بر روی هر نسخه اصلاح‌نشده مایکروسافت آفیس، مایکروسافت ویندوز و انواع معماری که تا سال 2000 بازمی‌گردد، تأثیر بگذارد.

با این حال، در هر دو مورد حمله، هدف نهایی از طریق فایل‌های جاوا اسکریپت به دست می‌آید که به عنوان یک قطره‌انداز برای بارهای واقعی بدافزار عمل می‌کنند.

هنگامی که به طور کامل مستقر شود، ابزارهای تهدیدکننده SideWind APT می توانند انواع مختلف اطلاعات را جمع آوری کنند، و همچنین فایل های انتخاب شده را به زیرساخت فرماندهی و کنترل (C2, C&C) گروه استخراج کنند. داده های جمع آوری شده شامل جزئیات حساب کاربری، اطلاعات سیستم، فرآیندهای در حال اجرا، جزئیات CPU، جزئیات سیستم عامل، جزئیات شبکه، برنامه های ضد ویروس نصب شده، امتیازات، جزئیات مربوط به تمام درایوهای متصل و برنامه های نصب شده است. تهدید جمع‌آوری داده نیز همه فهرست‌ها را در چهار مکان خاص فهرست می‌کند:

  • کاربران\%USERNAME%\Desktop،
  • کاربران\%USERNAME%\دانلودها،
  • کاربران\%USERNAME%\اسناد،
  • کاربران\%USERNAME%\مخاطبین

یک کمپین تلفن همراه در دست ساخت است

SideWind APT همچنین یک کمپین حمله در دست اجرا دارد که دستگاه های تلفن همراه کاربران را هدف قرار می دهد. چندین برنامه قبلاً کشف شده است که همه آنها در حالت ناتمام هستند. برخی از آنها تا کنون حاوی کد تهدید کننده ای نبوده اند، اما به گونه ای طراحی شده اند که تا حد امکان قانونی به نظر برسند. یکی از این برنامه ها "OpinionPoll" نام دارد و وانمود می کند که یک برنامه نظرسنجی برای جمع آوری نظرات در مورد اختلاف سیاسی نپال و هند است. برنامه‌های دیگر قبلاً قابلیت‌های تهدیدآمیزی داشتند، اما هنوز نشانه‌هایی نشان می‌دادند که قبل از اتمام به کار بیشتری نیاز است.

این اولین بار نیست که SideWind APT از ابزارهای بدافزار موبایل در فعالیت های خود استفاده می کند. پیش از این، مشاهده شده بود که آنها برنامه های تهدیدآمیزی را با تظاهر به مدیر فایل ابزارهای عکاسی به کار می گیرند. هنگامی که کاربر آنها را دانلود کرد، برنامه های SideWind APT از اکسپلویت CVE-2019-2215 و آسیب پذیری های MediaTek-SU برای به دست آوردن امتیازات ریشه در دستگاه در معرض خطر استفاده کردند.

پرطرفدار

کلاهبرداری ایمیل "YouPorn".

Spam
پس از بررسی کامل ایمیل‌های «YouPorn»، کارشناسان امنیت سایبری ماهیت تقلبی آن‌ها را تأیید کردند. این ایمیل‌ها بخشی از انواع مختلف هرزنامه هستند که همگی شبیه تاکتیک‌های جنجالی هستند. موضوع مشترک در میان این ایمیل‌های فریبنده، ادعای ساختگی است مبنی بر اینکه گیرنده در مطالب صریح جنسی که اخیراً در وب‌سایت YouPorn پست شده است، دخیل بوده است. سپس ایمیل ها گزینه های پرداخت متعددی را برای حذف محتوای...

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
14,963
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...