استفاده هکرهای فلسطینی از ایمپلنت جدید NimbleMamba در حملات تازه خود

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir palestinian hackers using new nimblemamba implant 1
یک گروه هک تهدید دائمی پیشرفته (APT) با انگیزه‌هایی که احتمالاً با فلسطین همسو هستند، فعالیت می‌کند، کمپین جدیدی را آغاز کرده‌اند که از ایمپلنتی که قبلاً شناخته نشده بود به نام NimbleMamba استفاده می‌نمایند.

شرکت امنیتی Proofpoint در گزارشی اعلام کرد که این نفوذ‌ها یک زنجیره حمله پیچیده را هدف قرار داده است که دولت‌های خاورمیانه، ‌اندیشکده‌های سیاست خارجی و یک شرکت هواپیمایی وابسته به دولت را هدف قرار می‌دهد و این عملیات مخفی را به یک عامل تهدید‌کننده با نام Molerats (معروف به TA402) نسبت می‌دهد.

گروه APT که بخاطر بروزرسانی مداوم بدافزار‌های خود و روش‌های تحویل آن‌ها بدنام بود، اخیراً به یک حمله جاسوسی با هدفگیری فعالان حقوق بشر و روزنامه‌نگاران در فلسطین و ترکیه مرتبط بود و در حالی که حمله قبلی در ژوئن ۲۰۲۱ افشا شد، منجر به استقرار یک backdoor شد که LastConn نامیده می‌شود.

اما آرامش حاکم در فعالیت‌ها توسط اپراتور‌هایی که فعالانه برای بازسازی تسلیحات سایبری خود تلاش می‌کنند، شکسته شده است، که منجر به توسعه NimbleMamba گردیده است. این بدافزار برای جایگزینی LastConn طراحی شده است، که به نوبه خود، گمان می‌رود نسخه ارتقا یافته‌ای از backdoor دیگری به نام SharpStage باشد. این backdoor توسط همان گروه به عنوان بخشی از کمپین‌های خود در دسامبر ۲۰۲۰ استفاده شده است.

محققان بیان داشتند: «NimbleMamba از گاردریل برای اطمینان از اینکه همه قربانیان آلوده در منطقه هدف TA402 هستند استفاده می‌کند. » و افزودند که این بدافزار «از API Dropbox هم برای command-and-control و هم برای خروج استفاده می‌کند و استفاده از آن را در «هوش بسیار هدفمند کمپین‌های مجموعه» می‌بیند.
takian.ir palestinian hackers using new nimblemamba implant 2
همچنین یک تروجان به نام BrittleBush ارائه شده است که با یک سرور راه دور ارتباط برقرار می‌کند تا دستورات کدگذاری شده با Base64 را برای اجرا در دستگاه‌های آلوده بازیابی کند. علاوه بر این، گفته می‌شود که این حملات همزمان با فعالیت‌های مخرب فوق الذکر که فلسطین و ترکیه را هدف قرار می‌دهد، رخ داده است.

توالی آلودگی دقیقاً همان تکنیکی است که عامل تهدید برای به خطر انداختن اهداف خود استفاده می‌کند. ‌ایمیل‌های فیشینگ توزیع شونده که به عنوان نقطه شروع عمل می‌کنند، حاوی لینک‌هایی با حفاظ جغرافیایی هستند که منجر به بارگذاری بدافزار تنها در صورتی که گیرنده در یکی از مناطق مورد نظر باشد می‌شوند؛ اما اگر اهداف خارج از شعاع حمله زندگی کنند، لینک‌ها کاربر را به یک وب سایت خبری موجه مانند عمارت الیوم هدایت می‌کنند.

با این حال، تغییرات جدیدتر کمپین در دسامبر ۲۰۲۱ و ژانویه ۲۰۲۲ شامل استفاده از URL‌های Dropbox و سایت‌های وردپرس تحت کنترل مهاجم برای ارائه فایل‌های RAR مخرب حاوی NimbleMamba و BrittleBush است.

این توسعه جدیدترین نمونه از دشمنانی است که از سرویس‌های ابری مانند Dropbox برای راه‌اندازی حملات خود، بدون توجه به اینکه عاملان پیچیده با چه سرعتی می‌توانند به افشای عمومی روش‌های تهاجم خود واکنش نشان دهند تا چیزی قوی و مؤثر ایجاد کنند که بتواند امنیت و لایه‌های شناسایی را پشت سر بگذارد، استفاده می‌کنند.

محققان نتیجه گرفتند که: «TA402 همچنان یک عامل تهدید مؤثر است که تداوم خود را با کمپین‌های بسیار هدفمند خود متمرکز بر خاورمیانه نشان می‌دهد. این دو کمپین توانایی مستمر Molerats در اصلاح زنجیره حمله خود را بر اساس اهداف اطلاعاتی‌اش نشان می‌دهد. ».

برچسب ها: Base64, BrittleBush, SharpStage, LastConn, NimbleMamba, Palestine, فلسطین, Molerats, TA402, Dropbox, APT, وردپرس, WordPress, URL, phishing, malware, Cyber Security, جاسوسی, مایکروسافت, backdoor, فیشینگ, بدافزار, امنیت سایبری, نفوذ, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ