هکرهای چینی سایت خبری جعلی را برای آلوده کردن دولت و اهداف انرژی راه اندازی کردند

بر اساس وبلاگی که روز سه شنبه توسط Proofpoint و PwC Threat Intelligence منتشر شد، یک گروه جاسوسی سایبری چینی از یک سایت خبری جعلی برای آلوده کردن اهداف دولتی و صنعت انرژی در استرالیا، مالزی و اروپا با بدافزار استفاده کرده است.

هکرهای چینی

این گروه با نام های مختلفی از جمله APT40، Leviathan، TA423 و Red Ladon شناخته می شود. چهار نفر از اعضای آن توسط وزارت دادگستری ایالات متحده در سال 2021 به دلیل هک کردن تعدادی از شرکت ها، دانشگاه ها و دولت ها در ایالات متحده و در سراسر جهان بین سال های 2011 تا 2018 متهم شدند.

اعضای APT40 توسط وزارت دادگستری ایالات متحده در سال 2021 متهم شدند
cyberwarfare hacker

اعضای APT40 توسط وزارت دادگستری ایالات متحده در سال 2021 متهم شدند / اعتبار تصویر: FBI


این گروه از سایت خبری جعلی استرالیایی خود برای آلوده کردن بازدیدکنندگان با چارچوب بهره برداری ScanBox استفاده می کند. Sherrod، معاون تحقیقات و شناسایی تهدیدات Proofpoint توضیح داد: “ScanBox یک چارچوب شناسایی و بهره برداری است که توسط مهاجم برای جمع آوری انواع مختلفی از اطلاعات، مانند آدرس IP عمومی هدف، نوع مرورگر وب استفاده شده و پیکربندی آن استفاده می شود.” دگریپو

او به TechNewsWorld گفت: «این به عنوان یک راه‌اندازی برای مراحل جمع‌آوری اطلاعات و بهره‌برداری یا سازش احتمالی بعدی عمل می‌کند، جایی که بدافزار می‌تواند برای پایداری در سیستم‌های قربانی مستقر شود و به مهاجم اجازه انجام فعالیت‌های جاسوسی را بدهد.

او گفت: «این تصور را در شبکه قربانی ایجاد می‌کند که بازیگران سپس مطالعه می‌کنند و بهترین مسیر را برای دستیابی به سازش بیشتر انتخاب می‌کنند.

جان بامبنک، یک شکارچی اصلی تهدید در Netenrich، یک شرکت عملیات فناوری اطلاعات و امنیت دیجیتال مستقر در سن خوزه در کالیفرنیا، اضافه کرد که حملات “Watering Hole” که از ScanBox استفاده می کنند برای هکرها جذاب است زیرا نقطه سازش در سازمان قربانی نیست.

او به TechNewsWorld گفت: «بنابراین، تشخیص اینکه اطلاعات به طور مجزا دزدیده می‌شوند، مشکل است.

حمله ماژولار

طبق وبلاگ Proofpoint/PwC، کمپین TA423 عمدتاً آژانس‌های دولتی محلی و فدرال استرالیا، شرکت‌های رسانه‌های خبری استرالیا و تولیدکنندگان صنایع سنگین جهانی را که تعمیر و نگهداری ناوگان توربین‌های بادی را در دریای چین جنوبی انجام می‌دهند، هدف قرار داده است.

این نشان می‌دهد که ایمیل‌های فیشینگ برای کمپین از آدرس‌های ایمیل Gmail و Outlook ارسال شده‌اند که Proofpoint معتقد است با «اطمینان متوسط» توسط مهاجمان ایجاد شده‌اند.

خطوط موضوع در ایمیل‌های فیشینگ شامل «مرخصی استعلاجی»، «تحقیق کاربر» و «درخواست همکاری» بود.

این وبلاگ توضیح داد که بازیگران تهدید اغلب به عنوان کارمند نشریه رسانه خیالی “اخبار صبح استرالیا” ظاهر می شوند و یک URL به دامنه مخرب خود ارائه می دهند و از اهدافی برای مشاهده وب سایت خود یا به اشتراک گذاری محتوای تحقیقاتی که وب سایت منتشر می کند درخواست می کنند.

هکرهای چینی
هکرهای چینی

اگر هدفی روی URL کلیک می‌کرد، به سایت اخبار جعلی فرستاده می‌شد و بدون اطلاع آن‌ها، بدافزار ScanBox به آنها ارائه می‌شد. دشمنان برای اعتبار بخشیدن به وب سایت جعلی خود، مطالبی را از سایت های خبری قانونی مانند بی بی سی و اسکای نیوز ارسال کردند.

ScanBox می تواند کد خود را به دو روش ارائه دهد: در یک بلوک، که به مهاجم امکان دسترسی فوری به عملکرد کامل بدافزار را می دهد، یا به عنوان یک معماری ماژولار پلاگین. خدمه TA423 روش پلاگین را انتخاب کردند.

به گفته PwC، مسیر ماژولار می تواند به جلوگیری از تصادفات و خطاهایی که به هدف هشدار می دهد که سیستم آنها مورد حمله قرار گرفته است، کمک کند. همچنین راهی برای کاهش دید حمله برای محققان است.

افزایش در فیشینگ

همانطور که این نوع کمپین ها نشان می دهند، فیشینگ نوک نیزه ای است که برای نفوذ به بسیاری از سازمان ها و سرقت داده های آنها استفاده می شود. مونیا دنگ، مدیر بازاریابی محصول در Bolster، ارائه‌دهنده حفاظت خودکار از ریسک دیجیتال، در لوس آلتوس، کالیفرنیا، مشاهده کرد: «سایت‌های فیشینگ در سال 2022 شاهد افزایش غیرمنتظره‌ای بوده‌اند.

او به TechNewsWorld گفت: “تحقیقات نشان داده است که این مشکل در سال 2022 به ده برابر افزایش یافته است، زیرا این روش به راحتی قابل استقرار، موثر و طوفانی کامل در عصر دیجیتال کار پس از همه گیری است.”

دگریپو اظهار داشت که کمپین‌های فیشینگ به کار خود ادامه می‌دهند زیرا عوامل تهدید سازگار هستند. او گفت: «آنها از امور جاری و تکنیک‌های مهندسی اجتماعی استفاده می‌کنند، که بارها ترس و احساس فوریت یا اهمیت یک هدف را از بین می‌برند.

او ادامه داد، یک روند اخیر در میان بازیگران تهدید، تلاش برای افزایش اثربخشی کمپین های خود از طریق ایجاد اعتماد با قربانیان مورد نظر از طریق گفتگوهای گسترده با افراد یا از طریق موضوعات گفتگوی موجود بین همکاران است.

راجر گریمز، یک مبشر دفاعی با KnowBe4، ارائه‌دهنده آموزش آگاهی امنیتی، در کلیرواتر، فلوریدا، اظهار داشت که حملات مهندسی اجتماعی به ویژه در برابر دفاع فنی مقاوم هستند.

او به TechNewsWorld گفت: «تا آنجا که ممکن است تلاش کنیم، تا کنون هیچ دفاع فنی بزرگی وجود نداشته است که از همه حملات مهندسی اجتماعی جلوگیری کند. این به ویژه سخت است زیرا حملات مهندسی اجتماعی می توانند از طریق ایمیل، تلفن، پیام متنی و رسانه های اجتماعی انجام شوند.

او ادامه داد، اگرچه مهندسی اجتماعی در 70 تا 90 درصد از حملات سایبری مخرب موفق دخیل است، این سازمان نادری است که بیش از 5 درصد از منابع خود را برای کاهش آن صرف می کند.

او گفت: «این مشکل شماره یک است و ما با آن به عنوان بخش کوچکی از مشکل برخورد می کنیم. این همان قطع اساسی است که به مهاجمان و بدافزارها اجازه می دهد تا این حد موفق باشند. تا زمانی که با آن به عنوان مشکل شماره یک برخورد نکنیم، این راه اصلی حمله مهاجمان به ما خواهد بود. این فقط ریاضی است.»

دو چیز به یاد داشته باشید

در حالی که TA423 از ایمیل در کمپین فیشینگ خود استفاده می کرد، گریمز خاطرنشان کرد که دشمنان از این رویکرد دور می شوند.

او توضیح داد: «حمله‌کنندگان از راه‌های دیگری مانند رسانه‌های اجتماعی، پیام‌های متنی SMS و تماس‌های صوتی بیشتر برای انجام مهندسی اجتماعی خود استفاده می‌کنند. دلیل آن این است که بسیاری از سازمان‌ها تقریباً به طور انحصاری بر مهندسی اجتماعی مبتنی بر ایمیل تمرکز می‌کنند و آموزش و ابزارهای مبارزه با مهندسی اجتماعی در سایر انواع کانال‌های رسانه‌ای در بیشتر سازمان‌ها در سطح یکسانی از پیچیدگی نیستند.

او ادامه داد: «به همین دلیل بسیار مهم است که هر سازمانی یک فرهنگ شخصی و سازمانی از شک و تردید سالم ایجاد کند، جایی که به همه آموزش داده می‌شود که چگونه نشانه‌های حمله مهندسی اجتماعی را بدون توجه به نحوه رسیدن آن – چه ایمیل، چه وب، تشخیص دهند. ، رسانه های اجتماعی، پیام اس ام اس یا تماس تلفنی – و مهم نیست که به نظر می رسد توسط چه کسی ارسال شده است.

او توضیح داد که بیشتر حملات مهندسی اجتماعی دو چیز مشترک دارند. اول، آنها به طور غیر منتظره وارد می شوند. کاربر انتظارش را نداشت. دوم، درخواست از کاربر برای انجام کاری است که فرستنده – هر کسی که تظاهر می کند – قبلاً هرگز از کاربر نخواسته است که انجام دهد.

او ادامه داد: «این می تواند یک درخواست قانونی باشد، اما باید به همه کاربران آموزش داده شود که هر پیامی با این دو ویژگی در معرض خطر بسیار بالاتری برای حمله مهندسی اجتماعی است و باید با استفاده از یک روش قابل اعتماد تأیید شود، مانند تماس مستقیم با شخص با یک شماره تلفن خوب شناخته شده.

او گفت: «اگر سازمان‌های بیشتری این دو چیز را به خاطر بسپارند، دنیای آنلاین مکان بسیار امن‌تری برای محاسبه خواهد بود.»

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *