به گزارش گرداب، مشخص شده است که اپراتورهای گروه هکر ACTINIUM، بخشهای اوکراینی زیر را برای سرقت دادههای حساس هدف قرار میدهند:
- دولت
- نظامی
- NGO
- قوه قضاییه
- اجرای قانون
این گروه تهدید به طور مداوم نهادهای اوکراینی و تمام سازمانهای دیگر مرتبط با اوکراین را هدف قرار میدهد؛ و این گروه هکری از اکتبر ۲۰۲۱ چنین حملاتی را آغاز کرده است. نه تنها این بلکه پس از بررسی مناسب مرکز اطلاعات تهدیدات مایکروسافت نیز متذکر شده است که این گروه مهاجم با نامهای آرماگدون و اکتینیوم ردیابی شده است.
باینریها مستقر شدند
با این حال، کارشناسان امنیت سایبری از راههای مختلفی برای ردیابی این حمله در طول تحقیقات استفاده کرده اند. برای ردیابی این حملات، اپراتورها یک وب پیکسل مانند ردیابی را تعبیه کرده اند که باینریها در این حمله مستقر شده اند. به همین دلیل است که ما باینریها را در زیر ذکر کرده ایم:
- پاورپانچ
- پترودو
- آرام
Stagers & downloaders
علاوه بر این برای پشتیبانی از مرحله بندی بار و زیرساخت C۲ آن مایکروسافت بیش از ۲۵ دامنه منحصر به فرد و بیش از ۸۰ آدرس IP منحصر به فرد را شناسایی کرده است که توسط اپراتورهای گروه هکر ACTINIUM استفاده میشود. در این حمله امنیت سایبری، محققان امنیتی شش مرحلهکننده و دانلودکننده را شناسایی کردهاند که در زیر به آنها اشاره میکنیم:
- DinoTrain
- DilongTrash
- تاریکی
- پاورپانچ
- DessertDown
- تیره سازی
در ژانویه SSU ۱۲۰ حمله سایبری را مسدود کرد
به غیر از مایکروسافت، Palo Alto Networks Unit ۴۲ نیز این مشکل گروه حمله را شناسایی کرده است. با این حال، کارشناسان پالو ادعا کردند که آنها متوجه عوامل تهدید کنندهای شده اند که تلاش میکنند با یک نهاد دولتی غربی در اوکراین مذاکره کنند و همه اینها در ۱۹ ژانویه ۲۰۲۲ مشاهده شد.
همه اینها توسط عوامل تهدید از طریق یک حمله فیشینگ نیزهای انجام شده است که در آن آنها یک دانلود کننده بدافزار را تحت فشار قرار داده اند. با این حال، در این مورد، عوامل تهدید به جای اینکه عوامل تهدید از خدمات ردیابی شغل و استخدام در اوکراین استفاده کنند، به دانلود کننده ایمیل نمیفرستند.
جدای از این، تحلیلگران امنیت سایبری تیم Threat Hunter سیمانتک متوجه گروه تهدید کننده Gamaredon نیز شدهاند که در حملات spear-phishing اسناد کلمه کلاندار را توزیع میکند. در حالی که جدا از این، برخی هشدارهای امنیتی وجود دارد که مطمئناً به کاربران در شناسایی چنین حملاتی کمک میکند که در زیر به آنها اشاره میشود:
- اجرای مشکوک اسکریپت
- کتابخانه پیوند پویا مشکوک بارگیری شد.
- فعالیت مشکوک عکسبرداری از صفحه نمایش
- مرحله بندی دادههای حساس
- یک فرآیند غیرعادی در حال اجرای دستور کدگذاری شده است.
این نوع هشدار تهدید میتواند توسط فعالیتهای تهدید غیرمرتبط ایجاد شود، و به همین دلیل است که بسیار ضروری است که هوشیار بمانید. بلکه مرکز اطلاعات تهدیدات مایکروسافت نیز اعلام کرده است:
عاملان تهدید، ارتش، سازمانهای غیردولتی (NGO)، قوه قضائیه، مجری قانون و سازمانهای غیرانتفاعی را هدف قرار میدهند.
انگیزه اصلی عوامل تهدید این است که تمام اطلاعات حساس را برای حفظ دسترسی استخراج کنند تا بتوانند سیستم را ربوده و طبق نیاز خود از آن استفاده کنند.