رفتن به محتوای اصلی
چهارشنبه ۲۸ آذر ۱۳۹۷
.

دسته بندی اخبار

دسته بندی عمومی

شناسایی گروه جاسوسی سایبری جدیدی با نام Gallmaker

شناسایی گروه جاسوسی سایبری جدیدی با نام Gallmaker

یک گروه جاسوسی سایبری جدید با نام Gallmaker توسط Symantec شناسایی شده است که حملاتی را علیه چند سفارت خارجی در اروپای شرقی و سازمانهای دفاعی و نظامی در خاورمیانه انجام داده است.

Gallmaker یک گروه APT با انگیزه‌های سیاسی است که عملیات خود را در بخش‌های دفاعی، سیاسی و دولتی انجام می‌دهد. این گروه از دسامبر ۲۰۱۷ فعال بوده است. بیشترین فعالیت این گروه در ماه آوریل مشاهده شده است و آخرین حمله آنها در ماه ژوئن بوده است:

این گروه از ابزارهای هک موجود در اینترنت برای عملیاتهای خود استفاده می‌کند. آنها از پیام‌های فیشینگ حاوی اسناد آفیس مخرب استفاده می‌کنند. این اسناد از پروتکل DDE  بهره می‌برند تا دستورها را در حافظه دستگاه هدف اجرا کنند.

به گفته Symantec، اسناد مخرب دارای عناوینی با مضامین دولتی، نظامی و دیپلماتیک هستند و نام فایل‌ها در زبان‌های انگلیسی و سیریلیکی نوشته شده‌اند. این اسناد پیچیده نیستند اما شواهد نشان می‌دهد که موثر هستند.

پس از دسترسی مهاجمین به سیستم هدف، آنها از ابزارهای مختلفی از جمله shell معکوس reverse_tcp از Metasploit، WindowsRoamingToolsTask PowerShell، کنسول WinZip و یک کتابخانه منبع باز با نام Rex Power استفاده می‌کنند.

کارشناسان متوجه شده‌اند که Gallmaker APT از سه آدرس IP برای سرورهای C&C خود استفاده می‌کنند. مهاجمین پس از پایان عملیات، ابزارهای استفاده شده در سیستم قربانی را پاک می‌کنند.

۴۹