هکرهای چینی سایت خبری جعلی را برای آلوده کردن دولت و اهداف انرژی راه اندازی کردند

تبلیغات

این گروه با نام های مختلفی از جمله APT40، Leviathan، TA423 و Red Ladon شناخته می شود. چهار نفر از اعضای آن توسط وزارت دادگستری ایالات متحده در سال 2021 به دلیل هک کردن تعدادی از شرکت ها، دانشگاه ها و دولت ها در ایالات متحده و در سراسر جهان بین سال های 2011 تا 2018 متهم شدند.

این وبلاگ توضیح داد که بازیگران تهدید اغلب به عنوان کارمند نشریه رسانه خیالی «اخبار صبح استرالیا» ظاهر می‌شوند و یک URL به دامنه مخرب خود ارائه می‌دهند و از اهدافی برای مشاهده وب‌سایت خود یا اشتراک‌گذاری محتوای تحقیقاتی که وب‌سایت منتشر می‌کند، درخواست می‌کنند.

این نشان می‌دهد که ایمیل‌های فیشینگ برای کمپین از آدرس‌های ایمیل Gmail و Outlook ارسال شده‌اند که Proofpoint معتقد است با «اطمینان متوسط» توسط مهاجمان ایجاد شده‌اند.

او به TechNewsWorld گفت: «تا آنجا که ممکن است تلاش کنیم، تا کنون هیچ دفاع فنی بزرگی وجود نداشته است که از همه حملات مهندسی اجتماعی جلوگیری کند. این به ویژه سخت است زیرا حملات مهندسی اجتماعی می توانند از طریق ایمیل، تلفن، پیام متنی و رسانه های اجتماعی انجام شوند.

راجر گریمز، یک مبشر دفاعی با KnowBe4، ارائه‌دهنده آموزش آگاهی امنیتی، در کلیرواتر، فلوریدا، اظهار داشت که حملات مهندسی اجتماعی به ویژه در برابر دفاع فنی مقاوم هستند.

در حالی که TA423 از ایمیل در کمپین فیشینگ خود استفاده می کرد، گریمز خاطرنشان کرد که دشمنان از این رویکرد دور می شوند.

این گروه از سایت خبری جعلی استرالیایی خود برای آلوده کردن بازدیدکنندگان با چارچوب بهره برداری ScanBox استفاده می کند. Sherrod، معاون تحقیقات و شناسایی تهدیدات Proofpoint توضیح داد: “ScanBox یک چارچوب شناسایی و بهره برداری است که توسط مهاجم برای جمع آوری انواع مختلفی از اطلاعات، مانند آدرس IP عمومی هدف، نوع مرورگر وب استفاده شده و پیکربندی آن استفاده می شود.” دگریپو

تبلیغات

خطوط موضوع در ایمیل‌های فیشینگ شامل «مرخصی استعلاجی»، «تحقیق کاربر» و «درخواست همکاری» بود.

طبق وبلاگ Proofpoint/PwC، کمپین TA423 عمدتاً آژانس‌های دولتی محلی و فدرال استرالیا، شرکت‌های رسانه‌های خبری استرالیا و تولیدکنندگان صنایع سنگین جهانی را که تعمیر و نگهداری ناوگان توربین‌های بادی را در دریای چین جنوبی انجام می‌دهند، هدف قرار داده است.

او به TechNewsWorld گفت: “تحقیقات نشان داده است که این مشکل در سال 2022 به ده برابر افزایش یافته است، زیرا این روش به راحتی قابل استقرار، موثر و طوفانی کامل در عصر دیجیتال کار پس از همه گیری است.”

اعضای APT40 توسط وزارت دادگستری ایالات متحده در سال 2021 متهم شدند / اعتبار تصویر: FBI


او ادامه داد: «به همین دلیل بسیار مهم است که هر سازمانی یک فرهنگ شخصی و سازمانی از شک و تردید سالم ایجاد کند، جایی که به همه آموزش داده می‌شود که چگونه نشانه‌های حمله مهندسی اجتماعی را بدون توجه به نحوه رسیدن آن – چه ایمیل، چه وب، تشخیص دهند. ، رسانه های اجتماعی، پیام اس ام اس یا تماس تلفنی – و مهم نیست که به نظر می رسد توسط چه کسی ارسال شده است.

اعضای APT40 توسط وزارت دادگستری ایالات متحده در سال 2021 متهم شدند

دگریپو اظهار داشت که کمپین‌های فیشینگ به کار خود ادامه می‌دهند زیرا عوامل تهدید سازگار هستند. او گفت: «آنها از امور جاری و تکنیک‌های مهندسی اجتماعی استفاده می‌کنند، که بارها ترس و احساس فوریت یا اهمیت یک هدف را از بین می‌برند.

او توضیح داد که بیشتر حملات مهندسی اجتماعی دو چیز مشترک دارند. اول، آنها به طور غیر منتظره وارد می شوند. کاربر انتظارش را نداشت. دوم، درخواست از کاربر برای انجام کاری است که فرستنده – هر کسی که تظاهر می کند – قبلاً هرگز از کاربر نخواسته است که انجام دهد.

او به TechNewsWorld گفت: «بنابراین، تشخیص اینکه اطلاعات به طور مجزا دزدیده می‌شوند، مشکل است.

حمله ماژولار

او ادامه داد: «این می تواند یک درخواست قانونی باشد، اما باید به همه کاربران آموزش داده شود که هر پیامی با این دو ویژگی در معرض خطر بسیار بالاتری برای حمله مهندسی اجتماعی است و باید با استفاده از یک روش قابل اعتماد تأیید شود، مانند تماس مستقیم با شخص با یک شماره تلفن خوب شناخته شده.

او گفت: «این مشکل شماره یک است و ما با آن به عنوان بخش کوچکی از مشکل برخورد می کنیم. این همان قطع اساسی است که به مهاجمان و بدافزارها اجازه می دهد تا این حد موفق باشند. تا زمانی که با آن به عنوان مشکل شماره یک برخورد نکنیم، این راه اصلی حمله مهاجمان به ما خواهد بود. این فقط ریاضی است.»

دو چیز به یاد داشته باشید

اگر هدفی روی URL کلیک می‌کرد، به سایت اخبار جعلی فرستاده می‌شد و بدون اطلاع آن‌ها، بدافزار ScanBox به آنها ارائه می‌شد. دشمنان برای اعتبار بخشیدن به وب سایت جعلی خود، مطالبی را از سایت های خبری قانونی مانند بی بی سی و اسکای نیوز ارسال کردند.

او به TechNewsWorld گفت: «این به عنوان یک راه‌اندازی برای مراحل جمع‌آوری اطلاعات و بهره‌برداری یا سازش احتمالی بعدی عمل می‌کند، جایی که بدافزار می‌تواند برای پایداری در سیستم‌های قربانی مستقر شود و به مهاجم اجازه انجام فعالیت‌های جاسوسی را بدهد.

بر اساس وبلاگی که روز سه شنبه توسط Proofpoint و PwC Threat Intelligence منتشر شد، یک گروه جاسوسی سایبری چینی از یک سایت خبری جعلی برای آلوده کردن اهداف دولتی و صنعت انرژی در استرالیا، مالزی و اروپا با بدافزار استفاده کرده است.

همانطور که این نوع کمپین ها نشان می دهند، فیشینگ نوک نیزه ای است که برای نفوذ به بسیاری از سازمان ها و سرقت داده های آنها استفاده می شود. مونیا دنگ، مدیر بازاریابی محصول در Bolster، ارائه‌دهنده حفاظت خودکار از ریسک دیجیتال، در لوس آلتوس، کالیفرنیا، مشاهده کرد: «سایت‌های فیشینگ در سال 2022 شاهد افزایش غیرمنتظره‌ای بوده‌اند.

ScanBox می تواند کد خود را به دو روش ارائه دهد: در یک بلوک، که به مهاجم امکان دسترسی فوری به عملکرد کامل بدافزار را می دهد، یا به عنوان یک معماری ماژولار پلاگین. خدمه TA423 روش پلاگین را انتخاب کردند.

جان بامبنک، یک شکارچی اصلی تهدید در Netenrich، یک شرکت عملیات فناوری اطلاعات و امنیت دیجیتال مستقر در سن خوزه در کالیفرنیا، اضافه کرد که حملات «Watering Hole» که از ScanBox استفاده می‌کنند برای هکرها جذاب است زیرا هدف مصالحه در سازمان قربانی نیست.

به گفته PwC، مسیر ماژولار می تواند به جلوگیری از تصادفات و خطاهایی که به هدف هشدار می دهد که سیستم آنها مورد حمله قرار گرفته است، کمک کند. همچنین راهی برای کاهش دید حمله برای محققان است.

افزایش در فیشینگ

او گفت: «این تصور را در شبکه قربانی ایجاد می‌کند که بازیگران سپس مطالعه می‌کنند و بهترین مسیر را برای دستیابی به سازش بیشتر انتخاب می‌کنند.

او توضیح داد: «حمله‌کنندگان از راه‌های دیگری مانند رسانه‌های اجتماعی، پیام‌های متنی SMS و تماس‌های صوتی بیشتر برای انجام مهندسی اجتماعی خود استفاده می‌کنند. این به این دلیل است که بسیاری از سازمان‌ها تقریباً به طور انحصاری بر مهندسی اجتماعی مبتنی بر ایمیل تمرکز می‌کنند و آموزش و ابزارهای مبارزه با مهندسی اجتماعی در انواع دیگر کانال‌های رسانه‌ای در بیشتر سازمان‌ها در سطح یکسانی از پیچیدگی نیستند.