حمله گروه هکری APT33 به صنایع و سازمان های عربستانبه تازگی مشخص شده است گروهی از هکرها که با نام APT33 شناخته شده اند، پشت یک حمله ی سایبری بزرگ که شرکت های هوافضا، پتروشیمی و انرژی را واقع در عربستان سعودی و کره ی جنوبی آلوده کرده است، قرار گرفته اند. محققان بر این باورند که هکرهای پشت این حمله، گروهی هستند که در گذشته عربستان سعودی را مورد هدف سایبری خود قرار دادند. بر اساس آخرین گزارش منتشر شده در روز چهارشنبه توسط FireEye، آخرین حمله ی این گروه هکری به وسیله ی یک dropper بوده است که آن را DropShot نامیده اند و مدعی شده اند که با بدافزار StoneDrill wiper (یک گونه ی نامعمول از شامون 2) در ارتباط است.محققان گفته اند که این بدافزار به وسیله ی کمپین های فیشینگ که شامل تبلیغات برای کار در شرکت های هواپیمایی عربستان سعودی و سازمان های غربی است، توزیع می شود. آن ها بر این باورند که ایمیل ها شامل فریب هایی برای استخدام هستند که هر کدام حاوی فایل های HTML مخرب بودند. محققان گفتند فایل های .hta شامل شرح و توصیف شغل و لینک ها برای ارسال مشاغل مشروع در وب سایت های اشتغال محبوب بود که افراد مختلف را مورد هدف قرار داده بود. فایل .hta بدون توجه به کاربر، دارای کدهای جاسازی شده بود که به صورت خودکار یک درب پشتی APT33 را دانلود می کرد. لینک ها در ایمیل ها با دامنه های جعلی برای شرکت های Boeing، شرکت هواپیمایی Alsalam، Northrop Grumman Aviation Arabia و Vinnell Arabia مورد استفاده قرار می گرفتند. بسیاری از این قربانیان که بر روی لینک ها کلیک می کردند، به طور کاملا تصادفی و ناخواسته DropShot را دانلود می کردند. هدف هکرها از ثبت چندین دامنه به دام انداختن نهاد ها و سازمان های مورد هدف بوده است. در ماه مارس،شرکت های بزرگ آنتی ویروس دنیا از جمله دکتر وب در مورد لینک های بدافزار StoneDrill که به یک گونه از شامون ها مرتبط میشد و توانسته بود کمپانی های Aramco و Rasgas را در سال 2012 مورد هدف قرار دهد، منتشر ساختند. stoneDrill در آن زمان برای مقابله با سازمان های عربستان سعودی مورد استفاده قرار گرفت و در نهایت سر از سازمان های پتروشیمی اروپا در آورد. " stoneDrill شباهت های بسیار زیادی با شامون دارد با این فرق که در آن چندین فاکتور و تکنیک جالب برای جلوگیری از تشخیص در این گونه وجود دارد". کارشناسان امنیت آنتی ویروس DrWeb ، شباهت های بسیاری را بین stoneDrill و یک گروه APT که با نام های NewsBeef یا Charming Kitten برای اکسپلویت فرم ورک های مرورگرها پیدا کردند. اما کارشناسان امنیتی بر این باور هستند که گروه هایی که پشت حملات شامون و StoneDrill هستند، هردو یکسان هستند و این حملات هماهنگ شده توسط افراد مشترک بودند. تیم های امنیتی اظهار دارند که APT33 از سال 2013 تاکنون در حال فعالیت های جاسوسی است و هکرهای پشت این حمله برای دولت ها فعالیت می کنند. محققان امنیتی FireEye در گزارشی نوشته اند: " به تازگی در می ماه سال 2017، APT33 یک سازمان عربستان سعودی و یک کمپانی تجاری در کره ی جنوبی را با استفاده از یک فایل مخرب که در تلاش است تا کاربران را برای یک شغل مناسب در یک شرکت پتروشیمی عربستان به دام بیاندازد، مورد هدف قرار داده است". طبق گزارش های متعدد از محققان امنیتی، هدف اصلی این حملات افزایش توانایی های هوانوردی ، جمع آوری اطلاعات نظامی عربستان و کمک به شرکت های پتروشیمی و منفعت کشوری که حمله را به راه انداخته است، بوده است. طبق گزارش FireEye: "ما بدافزار APT33 را با گروهی که پشت این حمله بودند شناسایی کردیم. اینطور که مشخص است این بدافزار توسط دولت هایی برای انجام فعالیت های تهدید آمیز علیه دشمنانش ایجاد شده است". گردآوری و انتشار : آنتی ویروس دکتر وب |
توسط : drweb در تاریخ : 4-07-1396, 10:32 بازدیدها : 972
بازدید کننده گرامی ، بنظر می رسد شما عضو سایت نیستید
پیشنهاد می کنیم در سایت ثبت نام کنید و یا وارد سایت شوید .
پیشنهاد می کنیم در سایت ثبت نام کنید و یا وارد سایت شوید .