اونا رو پولاشون به هم نزدیک کرد ما رو باورامون
گروه جدید هکری DarkUniverse
بهتازگی کارشناسان آزمایشگاه کسپرسکی گروه هکری جدیدی به نام دارک یونیورس (DarkUniverse) شناسایی کردهاند که سازمانهای نظامی و غیرنظامی را در کشورهای سوریه، ایران، افغانستان، تانزانیا، اتیوپی، سودان، روسیه، بلاروس و امارات متحده عربی هدف قرار داده است.
به گفته کارشناسان این آژمایشگاه، گروه جرائم سایبریThe ShadowBrokers در سال 2017 آرشیوی از بدافزار و ابزارهای هکری منتشر کرد که از گروه Equation Group متعلق به آژانس امنیت ملی ایالاتمتحده آمریکا به سرقت برده بود.
این آرشیو همچنین حاوی اسکریپتی بود که راه را برای شناسایی نوعی از گروه ایپیتی به نام دارک یونیورس هموار کرد. طبق گزارشات آزمایشگاه، این گروه به مدت 8 سال از 2009 تا 2017 فعال بوده و از طریق کمپینهای مخرب ItaDuke، اکسپلویتهای روز صفر و آسیبپذیریهای اسناد پیدیاف، اقدام به نفوذ برنامه های مخرب کرده و از حسابهای کاربری توییتر نیز جهت ذخیره آدرسهای URL و سرور C&C سوءاستفاده کرده است.
گروه دارک یونیورس جهت توزیع برنامههای مخرب از حملات فیشینگ هدفمند استفاده کرده و برای هر قربانی یک ایمیل مجزا بهمنظور جلبتوجه آن و یا واداشتن آن به باز کردن سند پیوست مخرب مایکروسافت آفیس اختصاص داده است.
هر نمونه بدافزار بلافاصله پیش از ارسال، کامپایل شده و حاوی آخرین نسخه فایل اجرایی بدافزار است. بدافزارهای موجود در اسناد شامل دو ماژول مخرب آپدیترماد (Updater.mod) و glue30.dll هستند که اولی مسئولیت برقراری ارتباط با سرور کنترل و فرمان (C&C)، ماندگاری برنامههای مخرب و نیز هدایت دیگر ماژولهای مخرب را بر عهده داشته و دومی بهعنوان کیلاگر عمل میکند.
ماژول آپدیترماد تعدادی ماژول اضافی را منجمله dfrgntfs5.sqt جهت اجرای دستورات سرور C&C، ماژول msvcrt58.sqt جهت سرقت اعتبارنامهها و محتوای پستهای الکترونیکی و zl4vq.sqt بهعنوان کتابخانه مجاز zlib و مورداستفاده توسط ماژول dfrgntfs5 و %tims_ID%.upe.upe بهعنوان پلاگین اضافی برای dfrgntfs5 بارگذاری میکند.
ماژول مخرب glue30.dll اقدام به کیلاگینگ کرده و اطلاعات تایپشده توسط کاربر را سرقت میکند. ماژول آپدیترماد همچنین از عملکرد SetWindowsHookExW Win API جهت ردیابی و ذخیره کلیدهای فشردهشده بر روی صفحهکلید و اجرای glue30.dll در فرآیندهایی دریافت اطلاعات واردشده از صفحهکلید استفاده میکند.
ماژول msvcrt58.sqt ترافیک رمزگذاری نشده مربوط به پروتکل POP3 را جهت جمعآوری پیامهای ایمیل و دادههای حسابهای کاربری قربانی، سرقت و تحلیل کرده و نتیجه را به ماژول اصلی یعنی آپدیترماد جهت بارگذاری در سرور کنترل و فرمان ارسال میکند. ماژول dfrgntfs5.sqt نیز کاربردیترین ابزار گروه دارک یونیورس است که فهرست عظیمی از دستورات سرور کنترل و فرمان را پردازش میکند.
مطلبی دیگر از این انتشارات
سرقت اطلاعات پیام رسان Wisper
مطلبی دیگر از این انتشارات
حمله سایبری به سازمان بهداشت جهانی در پی شیوع کرونا
مطلبی دیگر از این انتشارات
حمله سایبری سنگین روسیه علیه اکراین