چک‌پوینت مدعی شد:

هجوم هکرهای ایرانی به سازمان‌های اسرائیلی

  • ۲ ماه پیش
  • ۰

 

آزاده کیاپور

گروه هکری موسوم به آب‌گل‌آلود یا مادی‌واتر (MuddyWater) که ادعا می‌شود یک تیم سایبری وابسته به ایران است، بدافزار جدیدی را با بکدور (درب پشتی) سفارشی، برای هدف قرار دادن سازمان‌های اسرائیلی ارتقا داده است. این گروه که منابع غربی آن را وابسته به ایران می‌نامند در سال ۲۰۲۲ به ‌دلیل حملات سایبری علیه آلبانی، ایالات متحده و متحدانش، از سوی آمریکا تحریم شد.

طبق ادعای موسسه چک‌پوینت (Check Point)، گروه مادی‌واتر اخیرا به یک کمپین ضداسرائیلی پیوسته که چندین گروه ایرانی را شامل می‌شود و پس از حملات هدایت‌شده حماس در ۷ اکتبر ۲۰۲۳ به‌کار گرفته شده است. این گروه، اکنون کمپین‌های فیشینگ را در دستورکار قرار داده که از طریق آن بدافزار جدید درب پشتی به نام باگ‌اسلیپ (BugSleep) را منتشر می‌کند.

فریب‌های فیشینگ این گروه سایبری، اخیرا از دعوت‌نامه برای شرکت در وبینارها و کلاس‌های آنلاین استفاده کرده‌اند. طبق بررسی چک‌پوینت، این گروه از فوریه گذشته، بیش از ۵۰ ایمیل فیشینگ را به صدها نفر در 10 حوزه‌ اقتصادی اسرائیل ارسال کرده است.

در گزارش تیم اطلاعاتی بخش تهدید چک‌پوینت آمده است: «در میان این حملات، کمپین‌های فیشینگ قابل‌توجهی وجود دارد که به‌ویژه شهرداری‌های اسرائیل و گروهی وسیع‌تر از خطوط هوایی، آژانس‌های مسافرتی و خبرنگاران را هدف قرار داده‌ است.»

این ایمیل‌ها معمولا از حساب‌های ایمیل سازمانی هک‌شده ارسال می‌شدند تا کاربران را برای باز کردن ایمیل‌ها فریب دهند. اگرچه بیشتر این حملات به کسب‌وکارهای اسرائیلی معطوف شده اما برخی از این ایمیل‌ها به شرکت‌هایی در ترکیه، عربستان، هند و پرتغال نیز ارسال شده است.

ایمیل‌ها، شامل لینکی هستند که به زیردامنه‌ای از پلتفرم معتبر اشتراک‌گذاری و همکاری فایل یعنی Egnyte.com هدایت می‌شود. هنگامی که کاربران روی لینک فیشینگ، کلیک می‌کنند، نام یک شرکت یا شخص معتبر نمایش داده می‌شود که به کلاهبرداری اعتبار می‌بخشد.

در این زمینه، موسسه چک‌پوینت نوشت: «در لینکی که به یک شرکت حمل‌ونقل در عربستان ارسال شده بود، نام صاحب نمایش داده‌شده، خالد مشعل، رئیس پیشین حماس و یکی از رهبران برجسته آن بود.»

در حملاتی که شهرداری‌های اسرائیل را هدف قرار می‌دادند، ایمیل‌ها یک اپلیکیشن شهری غیرواقعی را تبلیغ می‌کردند که «برای خودکارسازی وظایف، افزایش کارآیی و اطمینان از ایمنی حداکثری در عملیات‌ها» طراحی شده بود. با این حال، با کلیک روی لینک، برنامه‌ای دانلود نمی‌شود اما بدافزار BugSleep روی دستگاه قربانی نصب می‌شود.

این بدافزار جدید و سفارشی «تا حدی جایگزین» استفاده گروه هکری مادی‌واتر در قالب ابزارهای نظارت و مدیریت از راه دور می‌شود.

چک‌پوینت اعلام کرد: «ما چندین نسخه از این بدافزار در حال توزیع را کشف کردیم که تفاوت‌های بین هر نسخه، بیانگر بهبود و رفع اشکال (و گاهی اوقات اشکال‌های جدید) بود. این تاکتیک همچنین تشخیص امضای کد حمله توسط نرم‌افزارهای امنیتی را دشوارتر می‌کند.

شکارچیان تهدید سایبری، این بدافزار را بیشتر تجزیه و تحلیل و آن را این‌گونه توصیف کردند: منطق اصلی BugSleep در همه نسخه‌ها مشابه است؛ به‌گونه‌ای که از تماس‌های زیاد با Sleep API برای دور زدن سندباکس‌ها و بارگذاری APIهای موردنیاز برای اجرای صحیح شروع می‌شود.

سپس یک mutex ایجاد می‌کند (ما PackageManager و DocumentUpdater را در نمونه‌ها مشاهده کردیم) و پیکربندی آن را که شامل آدرس IP و پورت C&C است، رمزگشایی می‌کند. تمام تنظیمات و ردیف‌ها به یک روش، رمزگذاری می‌شوند؛ به‌طوری که هر بایت با همان مقدار سخت‌ کدگذاری‌شده، کمتر می‌شود.

نمونه‌های تحلیل‌شده توسط چک‌پوینت، نشان می‌دهد چندین کار زمان‌بندی‌شده مختلف، ایجاد شده که هر ۳۰ دقیقه اجرا می‌شوند و ماندگاری روی دستگاه آلوده را تضمین می‌کنند. این وظایف، ارسال فایل‌های سرقت‌شده به سرور کنترل و فرمان، نوشتن محتوا در یک فایل، حذف وظایف و ایجاد وظایف جدید و نیز به‌روزرسانی زمان خواب و مقدار وقفه را شامل می‌شوند.

یکی از نمونه‌های تجزیه و تحلیل‌شده شامل روش‌هایی برای کمک به بدافزار برای جلوگیری از شناسایی آن توسط ابزارهای تشخیص نقطه پایان است: ابتدا بدافزار پرچم MicrosoftSignedOnly از ساختار ProcessSignaturePolicy را فعال می‌کند تا از بارگذاری تصاویری که توسط مایکروسافت تایید نشده‌اند، جلوگیری کند. این کار از تزریق  DLL‌های دیگر فرایندها به این فرایند جلوگیری می‌کند.

در مرحله بعد، پرچم ProhibitDynamicCode ساختار ProcessDynamicCodePolicy را فعال می‌کند تا از تولید کد پویا یا تغییر کد اجرایی موجود توسط فرایند جلوگیری کند. فعال کردن ProcessDynamicCodePolicy می‌تواند برای محافظت از آن در برابر راه‌حل‌های EDR که توابع userland API را برای بازرسی اهداف برنامه‌ها قلاب می‌کنند، مفید باشد.

نسخه دیگری از بدافزار همچنین شامل یک بارگذار Shellcode سفارشی است. در این زمینه چک‌پوینت هشدار داد در حالی که این گروه همچنان روی بخش‌های خاصی در کمپین‌های بدافزار خود تمرکز دارد، این تغییر از از فریب‌های سفارشی‌سازی‌شده به سمت موارد عمومی‌تر، باعث می‌شود تمرکز هکرهای سایبری بر حملات با حجم بالاتر آسان‌تر شود.

  • facebook
  • googleplus
  • twitter
  • linkedin
  • linkedin