هکرهای چینی وب سایت اخبار جعلی را برای آلوده کردن اهداف دولتی و انرژی منتشر می کنند
هکرهای چینی وب سایت اخبار جعلی را برای آلوده کردن اهداف دولتی و انرژی منتشر می کنند
بر اساس یک پست وبلاگی که روز سه شنبه توسط Proofpoint و PwC Threat Intelligence منتشر شد، یک گروه جاسوسی سایبری چینی از یک وب سایت خبری جعلی برای آلوده کردن اهداف دولتی و صنعت انرژی در استرالیا، مالزی و اروپا با بدافزار استفاده می کند.
این گروه با نام های مختلفی از جمله APT40، Leviathan، TA423 و Red Ladon شناخته می شود. وزارت دادگستری ایالات متحده چهار نفر از اعضای خود را در سال 2021 به دلیل هک کردن تعدادی از شرکت ها، دانشگاه ها و دولت ها در ایالات متحده و سراسر جهان بین سال های 2011 تا 2018 متهم کرد.
اعضای APT40 توسط وزارت دادگستری ایالات متحده در سال 2021 متهم شدند / منبع تصویر: FBI
این گروه از سایت خبری جعلی استرالیایی خود برای آلوده کردن بازدیدکنندگان با چارچوب بهره برداری ScanBox استفاده می کند. Proofpoint معاون تحقیقات تهدید و Discovery Sherrod توضیح داد: «ScanBox یک چارچوب شناسایی و بهرهبرداری است که توسط یک مهاجم برای جمعآوری انواع مختلف اطلاعات، مانند آدرس IP روبروی مخاطبان و نوع و پیکربندی مرورگر وب مورد استفاده قرار میگیرد.» دگرپو.
او به TechNewsWorld گفت: «این به عنوان آمادهسازی برای مراحل بعدی جمعآوری اطلاعات و بهرهبرداری بالقوه برای پیگیری یا سازش عمل میکند، که به موجب آن بدافزار میتواند برای پایداری در سیستمهای قربانی مستقر شود و به مهاجم اجازه انجام فعالیتهای جاسوسی را بدهد.»
او گفت: “این تصور یک شبکه قربانی را ایجاد می کند، جایی که بازیگران سپس مطالعه می کنند و بهترین مسیر را برای دستیابی به امتیازات بیشتر انتخاب می کنند.”
جان بامپنیک، شکارچی اصلی تهدید در Netenrich، یک شرکت عملیات فناوری اطلاعات و امنیت دیجیتال مستقر در سان خوزه در کالیفرنیا، اضافه کرد که حملات “Watering Hole” با استفاده از ScanBox هکرها را جذب می کند زیرا محل تسویه حساب در سازمان قربانی نیست.
او به TechNewsWorld گفت: «بنابراین، در یافتن اینکه اطلاعات به صورت غیررسمی دزدیده شده اند، مشکل وجود دارد.
حمله استاندارد
طبق وبلاگ Proofpoint/PwC، کمپین TA423 عمدتاً آژانسهای دولتی محلی و فدرال استرالیا، شرکتهای رسانه خبری استرالیا و تولیدکنندگان صنایع سنگین جهانی که ناوگان توربینهای بادی را در دریای چین جنوبی نگهداری میکنند، هدف قرار داده است.
این گزارش خاطرنشان کرد که ایمیلهای کمپین فیشینگ از آدرسهای ایمیل در Gmail و Outlook ارسال شدهاند، که Proofpoint معتقد است مهاجمان با «اطمینان متوسط» ایجاد کردهاند.
خطوط موضوع در ایمیلهای فیشینگ شامل «مرخصی استعلاجی»، «تحقیق کاربر» و «درخواست همکاری» بود.
این وبلاگ توضیح داد که عوامل تهدید اغلب وانمود میکنند که کارمند نشریه خبری خیالی «اخبار صبح استرالیا» هستند، URL دامنه مخرب خود را ارائه میکنند و از اهدافی برای مشاهده وبسایت خود یا اشتراکگذاری محتوای تحقیقاتی که وبسایت منتشر خواهد کرد، درخواست میکنند.
اگر هدفی روی URL کلیک کند، به سایت اخبار جعلی ارسال می شود و بدون اطلاع آنها به بدافزار ScanBox ارسال می شود. مخالفان برای اعتبار بخشیدن به وب سایت جعلی خود، مطالبی را از سایت های خبری قانونی مانند BBC و Sky News ارسال کردند.
ScanBox می تواند کد خود را به دو روش ارائه دهد: در یک بلوک، که به مهاجم امکان دسترسی فوری به عملکرد کامل بدافزار را می دهد، یا به عنوان یک افزونه، و یک معماری ماژولار. خدمه TA423 روش تحویل را انتخاب کردند.
به گفته PwC، یک مسیر مدولار می تواند به جلوگیری از تصادفات و خطاهایی که به هدف هشدار می دهد که سیستم آنها مورد حمله قرار گرفته است، کمک کند. همچنین راهی برای کاهش دید محققان از حمله است.
افزایش فیشینگ
همانطور که این نوع کمپین ها نشان می دهند، فیشینگ نوک نیزه ای است که برای هک کردن بسیاری از سازمان ها و سرقت داده های آنها استفاده می شود. مونینا دنگ، مدیر بازاریابی محصول در بولستر، شرکتی که حفاظت خودکار در برابر خطرات دیجیتال را در لوس آلتوس، کالیفرنیا ارائه میکند، خاطرنشان میکند: «سایتهای فیشینگ در سال 2022 افزایش غیرمنتظرهای داشتهاند.
او به TechNewsWorld گفت: “تحقیقات نشان می دهد که این مشکل در سال 2022 ده برابر شده است، زیرا استفاده از این روش آسان، کارآمد و طوفانی کامل در عصر کار دیجیتالی پس از همه گیری است.”
دگریپو تاکید کرد که کمپینهای فیشینگ همچنان به کار خود ادامه میدهند تا بازیگران تهدید با آن سازگار شوند. او گفت: «آنها از امور جاری و تکنیک های مهندسی اجتماعی کل نگر استفاده می کنند، که اغلب ترس از هدف و احساس فوریت یا اهمیت را به دام می اندازند.
او افزود که اخیراً یک روند در میان بازیگران تهدید وجود دارد که تلاش می کنند اثربخشی کمپین های خود را از طریق ایجاد اعتماد با قربانیان هدف از طریق گفتگوهای گسترده با افراد یا از طریق موضوعات موجود در بین همکاران افزایش دهند.
راجر گریمز، مبشر دفاعی KnowBe4، ارائهدهنده آموزش آگاهی امنیتی، در کلیرواتر، فلوریدا، تأکید کرد که حملات مهندسی اجتماعی به ویژه در برابر دفاع فنی مقاوم هستند.
او به TechNewsWorld گفت: «ما تا جایی که میتوانیم تلاش میکنیم، تا کنون هیچ دفاع فنی بزرگی وجود نداشته است که همه حملات مهندسی اجتماعی را مسدود کند. این امر به ویژه دشوار است زیرا حملات مهندسی اجتماعی می توانند از طریق ایمیل، تلفن، متن و رسانه های اجتماعی انجام شوند.
اگرچه مهندسی اجتماعی در 70 تا 90 درصد از حملات سایبری مخرب موفق دخیل است، این سازمان نادری است که بیش از 5 درصد از منابع خود را برای کاهش آن صرف می کند.
او گفت: “این مشکل شماره یک است و ما با آن به عنوان بخش کوچکی از مشکل برخورد می کنیم.” “این قطع ارتباط اساسی است که به مهاجمان و بدافزارها اجازه می دهد تا این حد موفق باشند. تا زمانی که ما با آن به عنوان مشکل شماره یک برخورد نکنیم، همچنان این راه اصلی حمله مهاجمان به ما خواهد بود. این فقط ریاضی است.”
دو چیز را به یاد داشته باشید
در حالی که TA423 از ایمیل در کمپین فیشینگ خود استفاده می کرد، گریمز نشان داد که مخالفان از این رویکرد دوری می کنند.
او توضیح داد: «هکرها از روشهای دیگری مانند رسانههای اجتماعی، پیامک و تماسهای صوتی اغلب برای انجام مهندسی اجتماعی خود استفاده میکنند. این به این دلیل است که بسیاری از سازمانها تقریباً به طور انحصاری بر مهندسی اجتماعی مبتنی بر ایمیل تمرکز میکنند و آموزش و ابزارهای مبارزه با مهندسی اجتماعی در سایر انواع کانالهای رسانهای در بیشتر سازمانها به خوبی توسعهیافته نیست.
او ادامه داد: «به همین دلیل است که هر سازمانی یک فرهنگ شخصی و سازمانی از شک و تردید سالم ایجاد کند، جایی که به همه آموزش داده میشود که چگونه نشانههای حمله مهندسی اجتماعی را بدون توجه به نحوه ورود آن – چه از طریق ایمیل، چه از طریق وب، تشخیص دهند. رسانههای اجتماعی یا پیامرسانی پیامک یا تماس تلفنی – بدون در نظر گرفتن هویت فرستنده.»
او توضیح داد که بیشتر حملات مهندسی اجتماعی دو چیز مشترک دارند. اول، آنها به طور غیر منتظره وارد شدند. کاربر انتظار این را نداشت. دوم، از کاربر میخواهد کاری را انجام دهد که فرستنده – هر کسی که وانمود میکند – هرگز قبلاً از کاربر درخواست نکرده است.
وی ادامه داد: “این می تواند یک درخواست قانونی باشد، اما باید به همه کاربران آموزش داده شود که هر پیامی با این دو ویژگی در معرض خطر بسیار بالاتری برای حمله مهندسی اجتماعی است و باید با استفاده از یک روش قابل اعتماد، مانند فراخوانی، تایید شود. شخص مستقیماً با یک شماره تلفن خوب و شناخته شده.”
او گفت: «اگر سازمانهای بیشتری دو چیز را یاد بگیرند، دنیای آنلاین مکان امنتری برای محاسبات خواهد بود.