انتشار شده در تاریخ 1403/11/06 - 11:39

تقلید از گروه‌های هکری مرتبط با کرملین برای حمله به نهادهای روسی

کارشناسان معتقدند که یک گروه هکری به نام «GamaCopy» از گروه‌های هکری مرتبط با کرملین برای هدف قرار دادن نهادهای روسی تقلید کرده است.

به گزارش کارگروه حملات سایبری سایبربان؛ کارشناسان ادعا کردند که یک گروه هکری کمتر شناخته شده از تاکتیک‌های یک گروه هکری برجسته مرتبط با کرملین برای هدف قرار دادن قربانیان روسی‌زبان تقلید کرده است.

این گروه هکری، موسوم به «GamaCopy»، در آخرین کمپین خود از اسناد فیشینگ استفاده کرد که به عنوان گزارش‌های رسمی در مورد مکان تأسیسات نیروهای مسلح روسیه در اوکراین پنهان شده بود. همچنین یک نرم‌افزار منبع‌باز به نام «UltraVNC» را برای دسترسی از راه دور به سیستم‌های قربانیان مستقر کرد.

طبق گزارشی که توسط شرکت امنیت سایبری چینی «Knownsec» منتشر شد، این تاکتیک‌ها، همراه با استفاده از بایگانی فایل 7-Zip (7zSFX) برای تحویل و بارگیری بارهای بعدی، معمولاً با عامل تهدید معروف روسی به نام گاماردون (Gamaredon) مرتبط است.

گاماردون حداقل از سال 2013 فعال بوده و گمان می‌رود از شبه جزیره کریمه ضمیمه روسیه فعالیت می‌کند. کارشناسان معتقدند که این گروه به دستور سرویس امنیت فدرال روسیه (FSB) عمل کند.

علیرغم شباهت‌های GamaCopy به گاماردون، محققان چندین تفاوت را در کمپین‌هایشان مشاهده کردند؛ به عنوان مثال، گاماردون در درجه اول از فریب‌های زبان اوکراینی استفاده می‌کند، در‌حالی‌که GamaCopy فریب‌های روسی‌زبان را به کار می‌برد. تجزیه و تحلیل‌ها نشان داد که زنجیره حمله GamaCopy شامل UltraVNC به طور قابل توجهی با گاماردون متفاوت است.

به گفته محققان، GamaCopy اولین بار توسط Knownsec در ژوئن 2023 کشف شد و از آن زمان با تقلید از گاماردون حملات سایبری متعددی را علیه بخش‌های دفاعی و زیرساخت‌های حیاتی روسیه انجام داده است. با این حال، اعتقاد بر این است که این سازمان حداقل از اوت 2021 فعال بوده است.

Knownsec کمپین GamaCopy را به عنوان «عملیات موفق با پرچم نادرست» توصیف کرد. در واقعیت، این گروه به احتمال زیاد با عامل تهدید دولتی دیگری به نام «Core Werewolf» مرتبط است که محققان نتوانستند به طور قطعی آن را به یک کشور خاص مرتبط کنند.

Core Werewolf که از سال 2021 فعال است، صنایع دفاعی و زیرساخت‌های حیاتی روسیه را هدف قرار داده است. این گروه هکری مانند GamaCopy، در کمپین‌های قبلی خود از «7zSFX» و «UltraVNC» استفاده کرده است.

اوایل ماه ژانویه سال جاری، محققان روسی متوجه شدند که یک گروه هکری مظنون مرتبط با اوکراین، موسوم به «Sticky Werewolf»، شرکت‌های علمی و صنعتی روسیه را در یک کمپین جاسوسی سایبری هدف قرار داده است. در گزارشی که در ماه ژوئن امسال منتشر شد، شرکت امنیت سایبری روسی «BI.ZONE» فاش کرد که یک گروه هکری به نام «Sapphire Werewolf» با استفاده از دزد اطلاعاتی «Amethyst» به بیش از 300 شرکت روسی حمله کرده است.