جزئیات کمپین حملات سایبری جدیدی علیه شرکتهای هوافضا و مخابراتی خاورمیانه منتشر شده و هدف آن سرقت اطلاعات حساسی در مورد داریی های حیاتی، زیرساختهای سازمانی و تکنولوژی ها اعلام شده است. تمامی این حملات از ذره بین آنتی ویروس ها به دور مانده و در خفا به فعالیتهای خود ادامه میدادند.
به گفته محققان در این کمپین از تروجان نامحسوس با قابلیت ایجاد دسترسی از راه دور به نام ShellClient استفاده شده است. این کمپین برای اولین بار در جولای ۲۰۲۱ مشاهده شده و با توجه به اینکه تعداد قربانیان آن بسیار کم است، نشان میدهد که اهداف با دقت زیادی انتخاب شدهاند.
تروجان ShellClient از سال ۲۰۱۸ تاکنون در حال توسعه و بروزرسانی بوده و نسخههای متعددی از آن منتشر شده که هر کدام قابلیتهای جدیدی داشتند. قابلیت اصلی این تروجان، مخفی ماندن از دید آنتی ویروسها بوده و همچنین با توجه به اینکه هنوز جزئیات دقیقی از آن منتشر نشده است، برای عموم مردم ناشناس است.
تحقیقات نشان داد که این تروجان قبلا در نوامبر ۲۰۱۸ برای ایجاد بک دور مورد استفاده قرار گرفته بود. این تغییرات و قابلیتهای جدید نشان میدهد که بدافزار فوق همچنان در حال بروزرسانی و توسعه است. علاوه بر این، هکرها در حملات فوق از یک فایل قابل اجرای ناشناس با نام Isa.exe نیز استفاده کردهاند.
بررسی بیشتر این حمله سایبری، منجر به شناسایی گروه جدیدی از هکرهای ایرانی به نام مالکماک (MalKamak) شد. این گروه فعالیت خود را از سال ۲۰۱۸ آغاز کرده و توانسته بود تا امروز ناشناس بماند. به احتمال زیاد این گروه با دیگر هکرهای وابسته به دولت ایران مثل APT39 همکاری داشته است.
Shellclient علاوه بر توانایی در سرقت و جمعآوری اطلاعات مهم، طوری طراحی شده که توانایی اجرای ماژولهای قابل حمل را داشته که در نهایت میتواند عملیاتهای اثر انگشت و دستکاری رجیستری نیز انجام دهد. شایان ذکر است این تروجان میتواند از فضاهای ذخیره سازی ابری مثل دراپ باکس، بهرهجویی کرده و از آنها به عنوان سرور کنترل و فرماندهی خود استفاده کند. با این کار فعالیتهای تروجان در قالب اپلیکیشنهای قانونی صورت گرفته و هرگونه ارسال و دریافت دادهای از زیر رادار آنتی ویروسها به آسانی عبور میکند.
در پیاده سازی این کمپین از تاکتیکی که قبلا توسط گروه ایندیگو زبرا مورد استفاده قرار گرفته شده بود، کپی برداری شده است. ایندیگو زبرا برای ذخیره سازی دستورات قابل اجرای خود از زیر پوشههای دراپ باکس در سیستم قربانی استفاده میکرد.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.