حمله گروه هکری ACTINIUM به برخی سازمان های دولتی و نظامی

حمله گروه هکری ACTINIUM  به برخی سازمان های دولتی و نظامی
تاریخ انتشار : ۲۱ بهمن ۱۴۰۰

مایکروسافت اخیراً اعلام کرده است که یک گروه هکر امنیت سایبری که به نام Gamaredon شناخته می شود، رگه ای از ایمیل های فیشینگ را ایجاد می کند.

به گزارش گرداب، مشخص شده است که اپراتور‌های گروه هکر ACTINIUM، بخش‌های اوکراینی زیر را برای سرقت داده‌های حساس هدف قرار می‌دهند:

  • دولت
  • نظامی
  • NGO
  • قوه قضاییه
  • اجرای قانون

این گروه تهدید به طور مداوم نهاد‌های اوکراینی و تمام سازمان‌های دیگر مرتبط با اوکراین را هدف قرار می‌دهد؛ و این گروه هکری از اکتبر ۲۰۲۱ چنین حملاتی را آغاز کرده است. نه تنها این بلکه پس از بررسی مناسب مرکز اطلاعات تهدیدات مایکروسافت نیز متذکر شده است که این گروه مهاجم با نام‌های آرماگدون و اکتینیوم ردیابی شده است.

باینری‌ها مستقر شدند

با این حال، کارشناسان امنیت سایبری از راه‌های مختلفی برای ردیابی این حمله در طول تحقیقات استفاده کرده اند. برای ردیابی این حملات، اپراتور‌ها یک وب پیکسل مانند ردیابی را تعبیه کرده اند که باینری‌ها در این حمله مستقر شده اند. به همین دلیل است که ما باینری‌ها را در زیر ذکر کرده ایم:

  • پاورپانچ
  • پترودو
  • آرام

    Stagers & downloaders

علاوه بر این برای پشتیبانی از مرحله بندی بار و زیرساخت C۲ آن مایکروسافت بیش از ۲۵ دامنه منحصر به فرد و بیش از ۸۰ آدرس IP منحصر به فرد را شناسایی کرده است که توسط اپراتور‌های گروه هکر ACTINIUM استفاده می‌شود. در این حمله امنیت سایبری، محققان امنیتی شش مرحله‌کننده و دانلودکننده را شناسایی کرده‌اند که در زیر به آن‌ها اشاره می‌کنیم:

  • DinoTrain
  • DilongTrash
  • تاریکی
  • پاورپانچ
  • DessertDown
  • تیره سازی

    در ژانویه SSU ۱۲۰ حمله سایبری را مسدود کرد

    به غیر از مایکروسافت، Palo Alto Networks Unit ۴۲ نیز این مشکل گروه حمله را شناسایی کرده است. با این حال، کارشناسان پالو ادعا کردند که آن‌ها متوجه عوامل تهدید کننده‌ای شده اند که تلاش می‌کنند با یک نهاد دولتی غربی در اوکراین مذاکره کنند و همه این‌ها در ۱۹ ژانویه ۲۰۲۲ مشاهده شد.

    همه این‌ها توسط عوامل تهدید از طریق یک حمله فیشینگ نیزه‌ای انجام شده است که در آن آن‌ها یک دانلود کننده بدافزار را تحت فشار قرار داده اند. با این حال، در این مورد، عوامل تهدید به جای اینکه عوامل تهدید از خدمات ردیابی شغل و استخدام در اوکراین استفاده کنند، به دانلود کننده ایمیل نمی‌فرستند.

    جدای از این، تحلیلگران امنیت سایبری تیم Threat Hunter سیمانتک متوجه گروه تهدید کننده Gamaredon نیز شده‌اند که در حملات spear-phishing اسناد کلمه کلان‌دار را توزیع می‌کند. در حالی که جدا از این، برخی هشدار‌های امنیتی وجود دارد که مطمئناً به کاربران در شناسایی چنین حملاتی کمک می‌کند که در زیر به آن‌ها اشاره می‌شود:
  • اجرای مشکوک اسکریپت
  • کتابخانه پیوند پویا مشکوک بارگیری شد.
  • فعالیت مشکوک عکسبرداری از صفحه نمایش
  • مرحله بندی داده‌های حساس
  • یک فرآیند غیرعادی در حال اجرای دستور کدگذاری شده است.

    این نوع هشدار تهدید می‌تواند توسط فعالیت‌های تهدید غیرمرتبط ایجاد شود، و به همین دلیل است که بسیار ضروری است که هوشیار بمانید. بلکه مرکز اطلاعات تهدیدات مایکروسافت نیز اعلام کرده است:

    عاملان تهدید، ارتش، سازمان‌های غیردولتی (NGO)، قوه قضائیه، مجری قانون و سازمان‌های غیرانتفاعی را هدف قرار می‌دهند.

    انگیزه اصلی عوامل تهدید این است که تمام اطلاعات حساس را برای حفظ دسترسی استخراج کنند تا بتوانند سیستم را ربوده و طبق نیاز خود از آن استفاده کنند.