شناسایی یک کمپین جاسوسی سایبری در جنوب شرق آسیا

به گزارش کارگروه بین‌الملل سایبربان؛ محققان آزمایشگاه کسپرسکی یک کمپین جاسوسی سایبری در کشورهای جنوب شرق آسیا شناسایی کرده‌اند که سازمان‌های دولتی را هدف قرار می‌دهد. 

به گفته کارشناسان این شرکت، در این کمپین که «LuminousMoth» نام گرفته برخلاف بیشتر حملات هدفمند پیچیده سنتی، لیست قربانیان به ده‌ها سازمان محدود نمی‌شود، بلکه بسیار گسترده‌تر است. مهاجمان از اکتبر سال 2020 حدودا صد سازمان در میانمار و 1400 سازمان را در فیلیپین هدف قرار داده‌اند. 

آلودگی اولیه از طریق ایمیل‌های فیشینگ با لینک Dropbox که از طریق آن آرشیو RAR حاوی سند آلوده ورد دانلود می‌شود، انجام می‌شود. 

بدافزار پس از تزریق به سیستم، سعی می‌کند از طریق درایوهای USB جداشدنی در سایر دستگاه‌های شبکه توزیع شود. بدافزار چنانچه چنین رسانه‌ای پیدا شود در آن دایرکتوری‌های مخفی ایجاد می‌کند و تمام فایل‌ها من‌جمله فایل‌های مخرب را از دستگاه قربانی به آنجا انتقال می‌دهد.

در این کمپین از دو ابزار در مراحل بعدی حمله استفاده می‌شود. یکی از آن‌ها نسخه جعلی نرم‌افزار Zoom بوده و دیگری کوکی‌ها را از مرورگر Chrome سرقت می‌کند. بدافزارها پس از استقرار در سیستم داده‌های جمع‌آوری‌شده را به سرور فرماندهی و کنترل انتقال می‌دهند. 

محققان بر این باورند یک گروه هکری چینی‌زبان به نام HoneyMyte که اقدام به جمع‌آوری داده‌های ژئوپلیتیک و اقتصادی در آسیا و آفریقا می‌کند، پشت این کمپین قرار دارد. 

ماریا نامِسنیکووا رئیس مرکز تحقیقات کسپرسکی در این خصوص می‌گوید:

این کمپین روندی را تأیید می‌کند که ما از سال گذشته مشاهده می‌کنیم: گروه‌های چینی‌زبان در حال ایجاد ایمپلنت‌های مخرب جدید هستند و فعالیت آن‌ها در حال افزایش است. احتمال اینکه مهاجمان اقدام به توسعه تجهیزات خود بکنند بسیار بالا است، بنابراین ما ابزارهای بعدی LuminousMoth را رصد خواهیم کرد.