گسترش اهداف سایبری در روسیه و بلاروس

به گزارش کارگروه بین‌الملل سایبربان؛ محققان امنیت سایبری جزئیات یک عامل تهدید معروف به گرگینه چسبنده (Sticky Werewolf) را فاش کردند که با حملات سایبری در روسیه و بلاروس مرتبط است.

شرکت اسرائیلی «Morphisec» هفته گذشته در گزارشی ادعا کرد که حملات فیشینگ علیه یک شرکت داروسازی، یک مؤسسه تحقیقاتی روسی که با میکروبیولوژی و توسعه واکسن سروکار دارد و بخش هوانوردی انجام شده که فراتر از تمرکز اولیه آنها بر سازمان‌های دولتی گسترش یافته است.

آرنولد اوسیپوف (Arnold Osipov)، محقق امنیتی اسرائیلی، گفت :

«در کمپین‌های قبلی، زنجیره آلودگی با ایمیل‌های فیشینگ حاوی پیوندی برای دانلود یک فایل مخرب از پلتفرم‌هایی مانند «gofile.io» آغاز شد. کمپین اخیر از فایل‌های آرشیو حاوی فایل‌های «LNK» استفاده می‌کند که به یک بار ذخیره شده در سرورهای «WebDAV» اشاره می‌کنند.»

به گفته محققان، گرگینه چسبنده یکی از چندین گروه هکری روسیه و بلاروس مانند «Cloud Werewolf» با نام مستعار «Inception» و «Cloud Atlas»، «Quartz Wolf»، «Red Wolf» معروف به «RedCurl» و «Scaly Wolf»، برای اولین بار توسط «BI.ZONE» در اکتبر 2023 مستند شد. اعتقاد بر این است که این گروه حداقل از آوریل 2023 فعال است.

حملات قبلی که توسط این شرکت امنیت سایبری مستند شده بود، از ایمیل‌های فیشینگ با لینک‌هایی به بارهای مخرب استفاده می‌کردند که به استقرار تروجان دسترسی از راه دور NetWire (RAT) ختم شد، که زیرساخت آن اوایل سال گذشته پس از یک عملیات اجرای قانون از بین رفت.

زنجیره حمله جدید مشاهده شده توسط Morphisec شامل استفاده از یک پیوست بایگانی RAR است که پس از استخراج، حاوی 2 فایل LNK و یک سند پی‌دی‌اف فریبنده است، که دومی ظاهراً دعوتی برای یک کنفرانس ویدیویی است و از گیرندگان می‌خواهد روی آن کلیک کنند. فایل‌های LNK برای دریافت دستور جلسه و لیست توزیع ایمیل می‌باشد.

باز کردن هر یک از فایل‌های LNK باعث اجرای یک باینری میزبانی شده در سرور WebDAV می‌شود که منجر به راه‌اندازی یک اسکریپت دسته‌ای ویندوز مبهم می‌شود. این اسکریپت به نوبه خود برای اجرای یک اسکریپت «AutoI» طراحی شده که در نهایت بار نهایی را تزریق می‌کند و همزمان نرم‌افزار امنیتی و تلاش‌های تحلیل را دور می‌زند.

اوسیپوف مدعی شد :

«این فایل اجرایی یک بایگانی خود استخراج کننده «NSIS» است که بخشی از رمزارز شناخته شده قبلی به نام «CypherIT» است. در حالیکه رمزارز اصلی CypherIT دیگر فروخته نمی‌شود، فایل اجرایی کنونی نوعی از آن است، همانطور که در چند فروم هک مشاهده شد. هدف نهایی این کمپین ارائه موش‌های صحرایی کالا و بدافزارهای دزد اطلاعات مانند «Rhadamanthys» و «Ozone RAT» است. در حالیکه شواهد قطعی مبنی بر منشأ ملی خاصی برای گروه گرگینه چسبنده وجود ندارد، زمینه ژئوپلیتیکی احتمال ارتباط با یک گروه جاسوسی سایبری یا هکریست‌های طرفدار اوکراین را نشان می‌دهد، اما این انتساب نامشخص است.»

این توسعه زمانی انجام شد که BI.ZONE یک خوشه فعالیت با کد Sapphire Werewolf را فاش کرد که پشت بیش از 300 حمله به بخش‌های آموزش، تولید، فناوری اطلاعات، دفاع و مهندسی هوافضا روسیه با استفاده از «Amethyst»، شاخه‌ای از «SapphireStealer» منبع باز شناخته شده است.

این شرکت روسی در مارس 2024 همچنین خوشه‌هایی به نام‌های «Fluffy Wolf» و «Mysterious Werewolf» را کشف کرد که از فریب‌های اسپیر فیشینگ برای توزیع «Remote Utilities»، «XMRig Miner»، «WarZone RAT» و یک درب پشتی سفارشی با نام «RingSpy» استفاده کرده‌اند.

کارشناسان معتقدند که در پشتی RingSpy دشمن را قادر می‌سازد تا دستورات را از راه دور اجرا کند، نتایج آنها را به دست آورد و فایل‌ها را از منابع شبکه دانلود کند. سرور [فرماندهی و کنترل] درپشتی یک ربات تلگرام است.