هدف قرار دادن رهبران زن سیاسی در کمپین سایبری جدید پیپاد

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، شرکت امنیت سایبری ترند میکرو (Trend Micro) این حملات را به یک عامل تهدید که تحت نام ووید رابیسو (Void Rabisu) شناخته می‌شود، نسبت داد که با نام‌های استورم-0978 (Storm-0978)، تروپیکال اسکورپیوس (Tropical Scorpius) و یو ان سی 2596 (UNC2596) نیز شناخته می‌شود و همچنین گمان می‌رود با باج‌افزار کوبا مرتبط باشد.

گروه متخاصم چیزی شبیه به یک گروه غیرعادی است که هم حملات با انگیزه مالی و هم حملات جاسوسی انجام می دهد و مرز بین شیوه های عملکرد آنها را محو می کند.

همچنین این گروه منحصراً به استفاده از رام کام رت (RomCom RAT) مرتبط است.

حملاتی که شامل استفاده از درب پشتی است، اوکراین و کشورهایی را که از اوکراین در جنگش علیه روسیه در سال گذشته حمایت می‌کنند را هدف قرار داده است.

در اوایل ماه جولای، مایکروسافت ووید رابیسو را با بهره‌برداری از آسیب پذیری CVE-2023-36884، یک نقص اجرای کد از راه دور در آفیس و اچ تی ام ال (HTML) ویندوز، با استفاده از فریب‌های سند مایکروسافت آفیس ساخته‌شده ویژه مرتبط با کنگره جهانی اوکراین، دخیل کرد.

رام کام رت قادر به تعامل با یک سرور فرمان و کنترل (C&C) برای دریافت دستورات و اجرای آنها بر روی دستگاه قربانی است، در حالی که تکنیک‌های فرار دفاعی را نیز در بر می‌گیرد، که نشان‌دهنده یک تکامل ثابت در پیچیدگی آن است.

این بدافزار معمولاً از طریق ایمیل‌های فیشینگ بسیار هدفمند و تبلیغات جعلی در موتورهای جستجو مانند گوگل و بینگ توزیع می‌شود تا کاربران را فریب دهد تا از سایت‌های فریبنده میزبان نسخه‌های تروجان‌شده برنامه‌های کاربردی مشروع بازدید کنند.

شرکت ترند میکرو گفت:

ووید رابیسو یکی از واضح‌ترین نمونه‌هایی است که در آن ما ترکیبی از تاکتیک‌ها، تکنیک‌ها و رویه‌های معمولی (TTP) را می‌بینیم که توسط عوامل تهدید مجرمان سایبری و عوامل تهدید تحت حمایت دولتها عمدتاً با انگیزه‌های جاسوسی استفاده می‌شوند.

آخرین مجموعه حملاتی که توسط این شرکت در آگوست 2023 شناسایی شد، رام کام رت را نیز ارائه می‌کند، فقط این یک نسخه به‌روزرسانی شده و کم‌حجم از بدافزار است که از طریق وب‌سایتی به نام wplsummit[.]com توزیع شده است، که کپی از دامنه wplsummit[.]org است که در واقع وبسایت قانونی است.

در وب‌سایت پیوندی به یک پوشه مایکروسافت وان درایو (OneDrive) وجود دارد که میزبان یک فایل اجرایی به نام «عکس‌های منتشر نشده 1-20230802T122531-002-sfx.exe» است؛ یک فایل 21.6 مگابایتی که هدف آن تقلید پوشه‌ای حاوی عکس‌هایی از زنان رهبر سیاسی (WPL) در نشستی است که در ژوئن 2023 برگزار شد.

باینری یک دانلود کننده است که 56 عکس را به عنوان یک فریب بر روی سیستم مورد نظر می اندازد، در حالی که یک فایل دی ال ال (DLL) را از یک سرور راه دور بازیابی می کند.

گفته می‌شود که منبع این عکس‌ها توسط این عامل مخرب از پست‌های فردی در پلتفرم‌های مختلف رسانه‌های اجتماعی مانند لینکدین، ایکس (که قبلاً توییتر نامیده می‌شد) و اینستاگرام گرفته شده است.

فایل دی ال ال به نوبه خود با دامنه دیگری ارتباط برقرار می کند تا مصنوع مرحله سوم پیپاد (PEAPOD) را دریافت کند که در مجموع از 10 فرمان پشتیبانی می کند که نسبت به 42 فرمان پشتیبانی شده توسط سلف خود کمتر است.

نسخه اصلاح شده برای اجرای دستورات دلخواه، دانلود و آپلود فایل ها، دریافت اطلاعات سیستم و حتی حذف نصب خود از هاست در معرض خطر مجهز شده است.

با حذف بدافزار که از جمله ضروری ترین ویژگی های آن می تواند باشد، ایده این است که ردپای دیجیتالی آن محدود شده و اقدامات شناسایی پیچیده می شوند.

شرکت ترند میکرو در پایان افزود:

در حالی که ما هیچ مدرکی مبنی بر اینکه ووید رابیسو توسط دولت خاصی حمایت می شود نداریم، ممکن است این یکی از عوامل تهدید کننده با انگیزه مالی از گروه های زیرزمینی جنایتکار باشد که به دلیل شرایط ژئوپلیتیکی خارق العاده ناشی از جنگ در اوکراین وارد فعالیت های جاسوسی سایبری شده است.