هکرهای تحت حمایت دولت ایران با استفاده از بدافزار WezRat، یک تروجان دسترسی از راه دور جدید، حملاتی را علیه سازمانهای اسرائیلی ترتیب دادهاند. این بدافزار، که به WezRat معروف است، اطلاعات حساس را سرقت میکند و امکان اجرای فرمان از راه دور را برای هکرها فراهم میسازد.
هکرهای تحت حمایت دولت ایران، که با نام طوفان شن کتانی (Cotton Sandstorm) (همچنین با نامهای امنت پاسارگاد یا آریا سپهر آیندهسازان (ASA) نیز شناخته میشوند)، از یک تروجان دسترسی از راه دور (RAT) و سارق اطلاعات تازه کشف شده به نام وزرات (WezRat) برای هدف قرار دادن سازمانهای اسرائیلی استفاده میکنند. این بدافزار امکان شناسایی گسترده سیستمهای آسیبدیده را فراهم میکند و به مهاجمان اجازه میدهد تا دستورات مخرب را از راه دور اجرا کنند. وزرات (WezRat) که حداقل از ۱ سپتامبر ۲۰۲۳ در حال استفاده فعال شناسایی شده است، تهدید قابل توجهی برای امنیت سایبری محسوب میشود.
قابلیتهای وزرات (WezRat) شامل اجرای دستورات دلخواه، گرفتن عکس از صفحه نمایش، آپلود و دانلود فایلها، ثبت کلیدهای فشرده شده، سرقت محتوای کلیپ بورد و استخراج کوکیها از مرورگرهای مبتنی بر کرومیوم است. این بدافزار به صورت ماژولار عمل میکند و قابلیتهایی مانند ثبت کلیدها و گرفتن عکس از صفحه نمایش را از سرور فرمان و کنترل (C&C) خود به عنوان فایلهای DLL جداگانه دریافت میکند. این طراحی ماژولار، سوء ظن به مؤلفه اصلی را کاهش میدهد و تشخیص را دشوارتر میکند.
روش حمله عمدتاً شامل ایمیلهای فیشینگ است که به عنوان بهروزرسانیهای امنیتی فوری از اداره ملی سایبری اسرائیل (INCD) جعل شدهاند. این ایمیلها که از یک آدرس جعلی ارسال میشوند، گیرندگان را به نصب یک نصبکننده تروجان گوگل کروم ترغیب میکنند. در حالی که نصبکننده، یک نسخه قانونی از کروم را نصب میکند، یک فایل اجرایی مخرب پنهان به نام “Updater.exe” (که در داخل با نام “bd.exe” شناخته میشود) را نیز اجرا میکند. این فایل اجرایی ثانویه سپس اطلاعات سیستم را جمعآوری کرده و برای دریافت دستورالعملهای بعدی، با سرور فرمان و کنترل (C&C) ارتباط برقرار میکند.
فرآیند ارتباط با سرور فرمان و کنترل (C&C) شامل یک پارامتر “رمز عبور” است که برای اجرای صحیح ضروری است. رمز عبور نادرست میتواند منجر به نقص یا حتی خرابی شود، که نشاندهنده یک مکانیسم عمدی است که به طور بالقوه برای خود تخریبی یا جلوگیری از تجزیه و تحلیل استفاده میشود. این بدافزار همچنین میتواند یک سرور فرمان و کنترل (C&C) ثانویه اضافه کند که افزونگی و مقاومت در برابر از کار افتادن را فراهم میکند.
تکامل وزرات (WezRat) نشان دهنده توسعه و اصلاح مداوم است. نسخههای قبلی دارای آدرسهای سرور فرمان و کنترل (C&C) ثابت بودند و فاقد آرگومان “رمز عبور” بودند. این بدافزار در ابتدا به عنوان یک RAT پایه با دستورات محدود عمل میکرد، اما با گذشت زمان، ویژگیهای پیچیدهتری مانند گرفتن عکس از صفحه نمایش و ثبت کلیدها را در خود جای داده است، که نشان دهنده تلاش مداوم برای افزایش قابلیتهای جاسوسی آن است.
شواهد نشان میدهد که حداقل دو تیم مجزا در توسعه و بهرهبرداری از وزرات (WezRat) دخیل بودهاند. این تقسیم کار میتواند نشاندهنده یک ساختار سازمانی پیچیده در طوفان شن کتانی (Cotton Sandstorm) باشد که امکان تخصص در زمینههای مختلف مانند توسعه بدافزار، مدیریت زیرساخت و استقرار عملیاتی را فراهم میکند.
هدف قرار دادن سازمانهای اسرائیلی با فعالیتهای شناخته شده طوفان شن کتانی (Cotton Sandstorm) که بر نهادهای سراسر ایالات متحده، اروپا و خاورمیانه متمرکز است، همسو است. این گروه نه تنها برای مخالفان سیاسی مستقیم، بلکه برای افراد و سازمانهایی که بر روایت بینالمللی یا داخلی ایران تأثیر میگذارند، تهدید محسوب میشود. استفاده از وزرات (WezRat) در این حملات، تعهد این گروه به توسعه و استقرار ابزارهای پیشرفته برای جاسوسی سایبری را برجسته میکند.
طراحی ماژولار، مجموعه ویژگیهای در حال تکامل و روش توزیع هدفمند وزرات (WezRat)، یک تهدید پیچیده و مداوم را نشان میدهد. سازمانها، به ویژه سازمانهای موجود در مناطق هدف، باید نسبت به ایمیلهای فیشینگ هوشیار باشند و اطمینان حاصل کنند که سیستمهای امنیتی آنها برای شناسایی و کاهش این بدافزار در حال تکامل بهروز شدهاند. توسعه مداوم وزرات (WezRat) بر نیاز به نظارت مستمر و استراتژیهای دفاعی پیشگیرانه در برابر فعالیتهای جاسوسی سایبری تحت حمایت دولت تأکید میکند. محققان و سازمانهای امنیتی باید برای به اشتراک گذاشتن اطلاعات و توسعه اقدامات متقابل مؤثر برای مقابله با این تهدیدات همکاری کنند. اصلاح مداوم وزرات (WezRat) نشان میدهد که احتمالاً این ابزار همچنان یک ابزار مهم در زرادخانه طوفان شن کتانی (Cotton Sandstorm) خواهد بود و نیاز به هوشیاری مداوم و اقدامات امنیتی پیشگیرانه دارد.
لحن این خبر بیانگر نظر یا گرایش رادار تکنولوژی نیست. اگر به خواندن کامل این مطلب علاقهمندید، روی لینک مقابل کلیک کنید: the hacker news
