گروه هکری که پس از یک دهه شناسایی شد
شرکت سنتینل لبز از شناسایی گروه هکری به نام ModifiedElephant خبر داد که 10 سال به صورت مخفیانه اهداف خود را مورد حمله قرار می داد.
به گزارش سایبربان؛ یک گروه هکری به نام ModifiedElephant (مودیفاید اِلِفِنت) بیش از یک دهه است با استفاده از تاکتیک های خود، در خفای کامل و بدون شناسایی شدن توسط شرکت های امنیت سایبری فعالیت می کند.
این گروه از سال 2012 با استفاده از تروجان های از پیش آماده و فیشینگ هدف دار، فعالین حقوق بشر، مدافعان آزادی بیان، اساتید دانشگاه و وکلای هند را مورد هدف قرار داده است.
در این ایمیل های مخرب از کی لاگرها و تروجان های دسترسی راه دوری مانند نت وایر، دارک کامِت و بدافزارهای اندرویدی استفاده می شود.
محققین سنتینل لبز روز گذشته طی گزارشی جزئیات و روش های مربوط به مودیفاید الفنت را شرح دادند.
مورد اطمینان ترین شواهد، هم پوشانی های یافت شده در چندین کمپین سایبری بین سال های 2013 تا 2019 است.
این گروه بیش از یک دهه است بر روی ایمیل های فیشینگ هدف دار متکی می باشد اما حالا تکنیک های آن ها در طول زمان دستخوش تغییراتی شده است.
خط زمانی روش های بکار گرفته شده توسط گروه مودیفاید الفنت: 2013: مهاجمین با استفاده از ضمایم ایمیل و افزونه های دوتایی جعلی اقدام به رها سازی بدافزار می کردند.
2015: استفاده از ضمایم RAR محافظت شده و دارای اسناد مخرب که نشانه های اجرای بدافزار را پوشش می دهند.
2019: این گروه میزبان سایت های رها کننده بدافزار شد و سرویس های میزبانی ابری را مورد سوء استفاده قرار داد. از سوی اسناد جعلی به سوی استفاده از لینک های مخرب حرکت کرد.
2020: مهاجمین با استفاده از فایل های RAR بزرگ (300 مگابایت) و دور زدن اسکن ها امکان شناسایی را به حداقل می رسانند.
اسناد ضمیمه مورد استفاده مهاجمین در چندین مورد، برای اجرای بدافزار از کدهای مخرب شناخته شده ای مانند CVE-2012-0158، CVE-2013-3906، CVE-2014-1761 و CVE-2015-1641 استفاده کردند.
ظاهرا این گروه تا به حال از بدافزار اختصاصی استفاده نکرده بنابراین نمی توان گفت مودیفاید الفنت گروه هکری پیچیده ای است.
هدف قرار دادن فعالین آزادی بیان و اساتید دانشگاهی بدین معناست که هکرها به دنبال به دست آوردن منافع مالی نیستند و بحث منافع سیاسی در میان است.
گمان می شود این گروه در جهت منافع دولت هند عمل می کند.
- ۰۰/۱۱/۲۳