یافتههای جدید در مورد یک گروه هکر مرتبط با حملات سایبری که شرکتهایی را در منطقه درگیری روسیه و اوکراین هدف قرار میدهند، نشان میدهد که ممکن است مدت بیشتری از آنچه قبلا تصور میشد وجود داشته باشد.
این بازیگر تهدید که با نام Bad Magic (معروف به Red Stinger) ردیابی میشود، نه تنها به یک کمپین پیچیده جدید مرتبط است، بلکه به مجموعهای از فعالیتها نیز مرتبط است که برای اولین بار در می ۲۰۱۶ منتشر شد.
شرکت امنیت سایبری روسیه کسپرسکی در گزارش فنی منتشر شده گفت: «در حالی که اهداف قبلی عمدتاً در مناطق دونتسک، لوهانسک و کریمه قرار داشتند، اکنون دامنه آن به افراد، نهادهای دیپلماتیک و سازمانهای تحقیقاتی در غرب و مرکز اوکراین گسترش یافته است. هفته گذشته
این کمپین با استفاده از یک چارچوب جدید ماژولار با نام رمز CloudWizard مشخص می شود که دارای قابلیت هایی برای گرفتن اسکرین شات، ضبط میکروفون، ثبت ضربه های کلید، گرفتن گذرواژه ها و جمع آوری صندوق های ورودی Gmail است.
Bad Magic اولین بار توسط این شرکت در مارس ۲۰۲۳ ثبت شد و جزئیات استفاده گروه از یک درب پشتی به نام PowerMagic (معروف به DBoxShell یا GraphShell) و یک چارچوب مدولار به نام CommonMagic در حملاتی که مناطق تحت اشغال روسیه را در اوکراین هدف قرار می دهند، ارائه کرد.
سپس در اوایل این ماه، Malwarebytes حداقل پنج موج از حملات جاسوسی را که توسط این گروه به دسامبر ۲۰۲۰ برمیگردد، فاش کرد.
بینش عمیق تری که توسط کسپرسکی به اشتراک گذاشته شده است، Bad Magic را به فعالیت های قبلی مبتنی بر ترکیب داده های تله متری تاریخی متصل می کند و به شرکت اجازه می دهد مصنوعات مختلف مرتبط با چارچوب CloudWizard را شناسایی کند.
بردار دسترسی اولیه مورد استفاده برای حذف نصب کننده مرحله اول در حال حاضر ناشناخته است. گفته شد، بدافزار به گونهای پیکربندی شده است که یک سرویس ویندوز ("syncobjsup.dll") و یک فایل دوم ("mods.lrc") را حذف کند، که به نوبه خود شامل سه ماژول مختلف برای برداشت و استخراج دادههای حساس است.
اطلاعات به صورت رمزگذاری شده به یک نقطه پایانی ذخیره سازی ابری تحت کنترل بازیگر (OneDrive، Dropbox یا Google Drive) منتقل می شود. در صورتی که هیچ یک از سرویس ها در دسترس نباشد، از وب سرور به عنوان مکانیزم بازگشتی استفاده می شود.
کسپرسکی بیان کرد که کد منبع بین نسخه قدیمی تر CloudWizard و بدافزار دیگری به نام Prikormka که توسط شرکت امنیت سایبری اسلواکی ESET در سال ۲۰۱۶ کشف شد، همپوشانی دارد.
 |
| منبع تصویر: ESET |
کمپین جاسوسی که توسط ESET تحت نام عملیات Groundbait نظارت میشود، عمدتاً جداییطلبان ضد دولتی در دونتسک و لوهانسک و مقامات دولتی، سیاستمداران و روزنامهنگاران اوکراین را مشخص می کرد.
Prikormka از طریق یک قطره چکان موجود در پیوست های ایمیل مخرب مستقر می شود و دارای ۱۳ مؤلفه مختلف برای جمع آوری انواع مختلف داده ها از ماشین های در معرض خطر است. شواهد جمع آوری شده توسط ESET نشان می دهد که این بدافزار حداقل از سال ۲۰۰۸ به طور انتخابی مورد استفاده قرار گرفته است.
CloudWizard همچنین شباهت هایی با مجموعه نفوذی مرتبط به نام BugDrop را نشان می دهد که توسط CyberX (که از آن زمان توسط مایکروسافت خریداری شده است) در سال ۲۰۱۷ فاش شد و شرکت امنیت سایبری صنعتی آن را پیشرفته تر از Groundbait توصیف کرد.
موارد مشترکی نیز بین CloudWizard و CommonMagic کشف شده است، از جمله قربانی شناسی و همپوشانی کد منبع، که نشان می دهد عامل تهدید به طور مکرر زرادخانه بدافزار خود را تغییر داده و اهداف را برای حدود ۱۵ سال آلوده کرده است.
آخرین پیشرفت، در نسبت دادن چارچوب CloudWizard به بازیگر عملیات Groundbait و Operation BugDrop، قطعه دیگری از این پازل را فراهم می کند که امیدوار است در نهایت تصویر بزرگتری از منشاء این گروه مرموز را آشکار کند.
گئورگی کوچرین، محقق کسپرسکی، گفت: «بازیگر تهدید که مسئول این عملیات است، تعهد مستمر و مداوم به جاسوسی سایبری را نشان داده است و به طور مداوم مجموعه ابزار خود را تقویت کرده و سازمانهای مورد علاقه خود را برای بیش از ۱۵ سال هدف قرار داده است.
عوامل ژئوپلیتیک همچنان محرک مهمی برای حملات APT هستند و با توجه به تنش غالب در منطقه درگیری روسیه و اوکراین، ما پیشبینی میکنیم که این بازیگر در آینده قابل پیشبینی به عملیات خود ادامه دهد.»
