گروه SCARLET MIMIC، در پشت چهار سال مبارزه علیه فعالان ایغور

محققان بر این باور هستند که گروهی مستقل مسئول یک رشته از حملات چندساله برای جاسوسی علیه فعالان تبتی و اویغور هستند. چهار سال است که این گروه از مجموعه‌ای از رایانامه‌های فیشینگ، حملات Watering Hole و تروجان‌های در پشتی برای جاسوسی استفاده می‌کنند.
بر طبق اظهارات محققان مؤسسه‌ی Palo Alto Networks که این حملات را در روز یکشنبه شرح داده است، این گروه با نام Scarlet Mimic حملات خود را عمدتاً از طریق رایانامه‌های فیشینگ گسترش می‌دهند.
این شرکت که حملات مربوط به این گروه‌ها را از هفت ماه پیش مورد تجزیه و تحلیل قرار داده است، معتقد است که حمله‌کنندگان عمدتاً از این حملات برای شکار فعالان گروه‌های اقلیت استفاده می‌کنند.
این گروه‌ها که اغلب در بسیاری از کشورها تحت فشار و یا در تبعید زندگی می‌کنند، یک هدف ثابت برای حمله باقی مانده‌اند. در طی چند سال گذشته محققان کسپرسکی و پژوهش‌گران Citizen Lab در دانشکده‌ی امور جهانی در دانشگاه تورنتو و دانشگاه شمال شرقی در همکاری با دانشگاه ملی سنگاپور، گزارش‌هایی را منتشر کرده‌اند که چگونه این گروه‌ها ، یعنی اویغورها که یک اقلیت مسلمان ترک که در چین و به ویژه در قزاقستان زندگی می‌کنند، خود را در تیررس مهاجمان احساس کرده‌اند.
گزارش Palo Alto با وجود اذغان به تنش‌های میان فعالان اویغور و دولت چین، گفته است که نمی‌تواند ارتباط میان این حملات را با جمهوری خلق چین تأیید کند.
بعد از این‌که یک رایانامه از سوی گروه Scarlet Mimic به قربانی با یک پیوست رسید، و قربانی آن را باز کرد، این سند از یک آسیب‌پذیری در مایکروسافت آفیس استفاده می‌کند و یک تروجان در پشتی را در سامانه‌ی عامل قربانی بارگذاری می‌کند.
با توجه به گفته‌های محققان، قربانیانی که اطلاعات کافی ندارند معمولاً بعد از این‌که سند آلوده را باز کردند اسناد دیگری را مشاهده می‌کردند تا تصور شود همه چیز مرتب است. Palo Alto ادعا می‌کند که در حالی‌که این اسناد طعمه، معمولاً به خوبی آماده نشده‌اند اما حول موضوعاتی همچون ارتباطات اویغورها، وقایع مربوط به القاعده و یا رئیس‌جمهور روسیه ولادمیر پوتین، قرار دارند که قربانیان را تحریک می‌کند تا آنها را باز کنند.
معمای این حملات بر پایه یک در پشتی به نام FakeM بنا شده است که حدوداً از سال ۲۰۱۳ شناخته شده است. با وجودی که این بدافزار، تمامی چهار سال پیاپی را فعالیت نمی‌کند، اما تروجان تغییرات اندکی پیدا کرده است از جمله قابلیت یافتن روش‌هایی برای فرار از تشخیص داده شدن بعد از زمانی که شروع به فعالیت کرده است.
اما ماهیت این تروجان به همان حالت قبل باقی مانده است. این تروجان شامل ویژگی کی‌لاگر است که می‌تواند پرونده‌های حساس را جمع‌آوری کرده و با استفاده از آن مهاجمان می‌توانند در کنار دستورات دیگر به سرقت گذرواژه‌ها و تصاویر صفحه دست بزنند و پرونده‌ها را ارسال کنند.
محققان می‌گویند که به نظر می‌رسد مهاجمان Scarlet Mimic گاهی اوقات این روند را می‌شکنند و به جای ارسال رایانامه‌های فیشینگ، یک حمله از نوع Watering Hole انجام می‌دهند. در سال ۲۰۱۳ آن‌ها وب‌گاه اتحاد تبتی‌های شیکاگو را مورد حمله قرار دادند تا یک کد آلوده را از طریق حفره‌ی اینترنت اکسپلورر در آن جاسازی کنند، اما به نظر می‌رسد که آن تلاش موجب یک ناهم‌سانی گردید.
به گفته‌ی روبرت فالکون و جن میلر-آزبورن، پژوهش‌گران این شرکت، بیشتر حمله‌های اخیر که توسط این گروه در سال گذشته صورت گرفته است نشان می‌دهند که گروه Scarlet Mimic به حمله علیه فعالان سیاسی علاقمند باقی مانده است.
فالکون و میلر-آزبورن می‌گویند: «تازه‌ترین حملاتی از سوی این گروه را که ما کشف کرده‌ایم در سال ۲۰۱۵ رخ داده‌اند و نشان می‌دهند که این گروه علاقه‌ی فراوانی به فعالان مسلمان و کسانی که به نقد دولت روسیه و رئیس‌جمهور آنان ولادمیر پوتین می‌پردازند، دارند. با توجه به اهداف گذشته‌ی آن‌ها، ما گمان می‌کنیم که این اشخاص ممکن است اطلاعات موجودی را که این گروه‌های فعال دارا هستند، هدف قرار داده باشند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap