حمله هکرهای سندوورم با کپچا جعلی به کاربران اوکراینی
به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، در این روش، مهاجمان از صفحات جعلی کپچا (CAPTCHA) در وبسایتهای هکشده استفاده میکنند تا قربانیان را به اجرای بدافزار روی رایانههای خود ترغیب کنند.
بر اساس گزارش منتشرشده، این گروه از بهار و تابستان سال جاری تغییراتی در شیوه نفوذ اولیه به سامانههای هدف ایجاد کرده و بهطور فزایندهای از تکنیکی موسوم به کلیک فیکس (ClickFix) بهره میبرد.
در این حملات، کاربران هنگام مراجعه به وبسایتهای آلوده با یک صفحه کپچا جعلی مواجه میشوند که ظاهراً برای تشخیص انسان از ربات طراحی شده است.
اما بهجای انجام یک آزمون معمولی، از کاربر خواسته میشود یک دستور پاورشل (PowerShell) را کپی و در رایانه ویندوزی خود اجرا کند.
اجرای این دستور باعث دانلود و نصب بدافزاری میشود که امکان دسترسی مداوم مهاجمان به سیستم را فراهم کرده و زمینه نصب ابزارهای مخرب دیگر را نیز مهیا میکند.
تیم واکنش به رخدادهای رایانهای اوکراین (CERT-UA) اعلام کرده نخستین بدافزار نصبشده در این زنجیره حمله قتو وایب (GhettoVibe) نام دارد.
پس از آن، ابزاری به نام اسکات کرل (ScoutCurl) برای جمعآوری اطلاعات از سیستم قربانی فعال میشود.
این ابزار جزئیاتی مانند مشخصات سیستم، نرمافزارهای نصبشده، فایلهای موجود و دادههای مرورگر را استخراج میکند تا مهاجمان ارزش هدف را برای ادامه نفوذ ارزیابی کنند.
محققان همچنین دو ابزار بارگذاری بدافزار دیگر با نامهای فلوید لیچ (FluidLeech) و لودلوپ (LoadLoop) را شناسایی کردهاند.
فلوید لیچ خود را بهعنوان نرمافزار حذف آنتیویروس معرفی میکند تا کاربران را فریب دهد.
به گفته تیم واکنش به رخدادهای رایانهای اوکراین، تنها در ماههای ژوئن و ژوئیه این روش در بیش از ۱۰ وبسایت هکشده مشاهده شده است، هرچند تعداد دقیق قربانیان یا دستگاههای آلوده اعلام نشده است.
با وجود استفاده گسترده از تکنیک کلیک فیکس، گروه سندوورم (Sandworm) همچنان از روشهای سنتی مهندسی اجتماعی نیز بهره میبرد.
این گروه بدافزارهایی را در قالب برنامههای امنیتی جعلی برای سیستمعامل اندروید از طریق پیامرسانها توزیع میکند.
این بدافزارها پس از نصب قادر به سرقت مخاطبان، فایلها، اطلاعات دستگاه و حتی موقعیت مکانی کاربران هستند.
تیم واکنش به رخدادهای رایانهای اوکراین همچنین یادآور شده که سندوورم سالها از نسخههای دستکاریشده نصبکنندههای ویندوز و مجموعه مایکروسافت آفیس در سایتهای تورنت برای آلودهسازی کاربران استفاده کرده است.
در یکی از موارد، همین روش به مهاجمان امکان داد پیش از اجرای یک حمله مخرب، به شبکه یک نهاد دولتی اوکراین نفوذ کنند.
یکی دیگر از تاکتیکهای شناختهشده این گروه، سوءاستفاده از پیامرسان سیگنال است.
مهاجمان با ایجاد ارتباط طولانیمدت و جلب اعتماد نظامیان و سایر اهداف، آنها را به نصب نرمافزارهای امنیتی جعلی یا اجرای فایلهای مخرب ترغیب میکنند و حتی در برخی موارد در ازای اجرای دستورات خود پیشنهاد پرداخت پول دادهاند.
گروه سندوورم که از سال ۲۰۱۳ فعال است، به انجام برخی از مشهورترین حملات سایبری روسیه از جمله حملات مخرب علیه شبکه برق اوکراین نسبت داده میشود.