حملات سایبری با نام کمپین PEAPOD/ ارتباط احتمالی با بدافزار کوبا

شرکت امنیت سایبری Trend Micro حملات را به یک عامل تهدیدی نسبت داده که تحت نام Void Rabisu شناسایی می‌شود و همچنین با نام‌های Storm-0978، Tropical Scorpius و UNC2596 نیز شناخته می‌شود و ارتباط احتمالی با بدافزار کوبا دارد.

گروه مخالفی به نوعی گروه غیرمعمول است که هم حملات مالی و هم جاسوسی انجام می‌دهد و مرز بین روش‌های عملیاتی آن‌ها را مبهم می‌کند. این گروه به صورت انحصاری با استفاده از RomCom RAT ارتباط دارد.

حملات با استفاده از این درگاه، کشورهایی مانند اوکراین و کشورهای حاشیه‌ی اوکراین که از اوکراین در جنگ با روسیه حمایت می‌کنند، را مورد هدف قرار داده‌اند.

در ماه ژوئیه امسال، مایکروسافت عامل تهدیدی به نام Void Rabisu را به بهره‌گیری از CVE-2023-36884 که یک آسیب پذیری اجرای کد از راه دور در آفیس و HTML ویندوز است، در حین استفاده از اسناد آفیس ویژه‌ساخته شده به موضوع کنگره جهانی اوکراین مرتبط کرد.

RomCom RAT قابلیت ارتباط با یک سرور کنترل دستور (C&C) را برای دریافت دستورات و اجرای آنها در دستگاه قربانی دارد و همچنین تکنیک‌های دفاعی را در خود دارد که نشان از تکامل پایدار در پیشرفت‌های خود می‌دهد.

به طور معمول این نرم‌افزار مورد استفاده در حملات اسپم ایمیل با هدف خاص و تبلیغات جعلی در موتورهای جستجویی مانند گوگل و بینگ برای گمراه کردن کاربران به سایت‌های ترفندی که نسخه‌های تروجان‌شده از برنامه‌های معتبر میزبانی می‌کنند.

"Trend Micro گفت: "Void Rabisu یکی از واضح‌ترین مثال‌ها است که ما ترکیبی از تاکتیک‌ها، تکنیک‌ها و رویه‌های معمولی که توسط عوامل تهدیدی جرمی و تکیه‌گاه‌ها تحت حمایت دولت ملت‌مند استفاده می‌شود و رویه‌های استفاده شده توسط عوامل تهدیدی حمایتی از سوی دولت‌ها که اصولاً با هدف اسپیوناژ فعالیت می‌کنند، را می‌بینیم."

بیشتر بدانید:

برای محافظت از امنیت شبکه و سیستم های خود با شرکت مانا نوین ایرانیان در ارتباط باشید

آخرین مجموعه حملات کشف‌شده توسط این شرکت در ماه اوت 2023 نیز RomCom RAT تحویل می‌دهد، با این تفاوت که یک نسخه به‌روز و ترتیب‌دهی شده از نرم‌افزار مخرب است که از طریق وب‌سایتی به نام wplsummit[.]com توزیع می‌شود که یک کپی از دامنه معتبر wplsummit[.]org است.

روی این وب‌سایت لینکی به یک پوشه Microsoft OneDrive وجود دارد که یک فایل اجرایی به نام "Unpublished Pictures 1-20230802T122531-002-sfx.exe" را میزبانی می‌کند، یک فایل با حجم 21.6 مگابایت که قصد دارد یک پوشه حاوی تصاویر از کنگره رهبران سیاسی زنان (WPL) که در ژوئن 2023 برگزار شده است را تقلید کند.

این باینری یک دانلودر است که 56 عکس را در دستگاه هدف به عنوان یک عامل نمایشی رها می‌کند و همچنین یک فایل DLL را از یک سرور از راه دور بازیابی می‌کند. گفته می‌شود که این تصاویر از طریق پست‌های فردی در انواع پلتفرم‌های رسانه‌های اجتماعی مانند LinkedIn، X (که قبلاً با نام Twitter شناخته می‌شد) و Instagram به دست آمده‌اند.

فایل DLL به نحوی با دامنه دیگری تماس می‌گیرد تا محصول PEAPOD در مرحله سوم را پشتیبانی کند که در کل 10 دستور را پشتیبانی می‌کند، کاهشی نسبت به 42 دستوری که توسط نسخه قبلی این بدافزار پشتیبانی می‌شد.

نسخه بازنگری‌شده توانایی اجرای دستورات دلخواه، دانلود و آپلود فایل‌ها، گرفتن اطلاعات سیستم و حتی حذف خود از دستگاه تخلیه شده را دارد. هدف از کاهش این نرم‌افزار به ویژگی‌های ضروری‌تر آن، محدود کردن اثر دیجیتالی آن و پیچیده‌تر کردن تلاش‌های شناسایی آن است.

Trend Micro گفت: "اگرچه ما شواهدی نداریم که Void Rabisu از سوی یک دولت حمایت می‌شود، اما ممکن است این یکی از عوامل تهدیدی مالی  باشد."