گروه جاسوسی سایبری Librarian Ghouls (به معنای “غولهای کتابدار”) که قبلا نیز ایمیلهای مخرب را برای ربودن اطلاعات محرمانه ارسال میکردند، اکنون نه تنها به اسناد اداری، بلکه به فایلهای مورد استفاده توسط نرم افزارها برای مدل سازی و توسعه سیستمهای صنعتی روی آورده است.
به گفته آزمایشگاه کسپرسکی، در حال حاضر متدهای مورد استفاده هکرها برای توزیع بدافزار و ربودن دادهها و همچنین ابزارهای مورد استفاده توسط آن ها بدون تغییر باقی مانده است.
جالب است که هکرها حتی دامنهای را که داده های ربوده شده را به آن ارسال میکردند (hostingforme[.]nl) تغییر ندادهاند. هکرها به طور کلی، فقط نام فایلهایی که به عنوان طعمه از آن استفاده میکنند و فرمت فایلهایی که بدافزار جمع آوری میکند تا به سرور فرماندهی و کنترل ارسال نماید را تغییر دادهاند.
گروه جاسوسی سایبری Librarian Ghouls به طور خلاصه، آرشیوهای مخرب RAR را با فایلهای SCR که نام آنها شبیه اسناد اداری است، ارسال میکند. چنانچه قربانی این فایل را اجرا کند، بدافزار به دانلود پیلود بیشتر در رایانه میپردازد، دادههای مورد علاقه هکرها را در فرمت آرشیو جمع آوری و آنها را برای اپراتورهای خود ارسال می کند.
سیستمهای آزمایشگاه کسپرسکی نام فایلهای زیر را به عنوان اسناد مخرب و طعمه ثبت کردهاند:
- Ixch_28_08_2024_No6_3223_Organization_Organization_on-list_Visualization.scr
- Isty_02_09_2024_No6_3223_Organizations_on-list_Visualization.scr
- Project TT. 13.08.2024-2.doc.scr
- Project TTT 27.08.2024-2.scr
- Request KP.docx.scr
هکرها تا پیش از این، تنها به اسناد آفیس (فایلهایی با پسوند dox,doc) و دادههای پیام رسان تلگرام علاقه مند بودند، اما اکنون هم به ربودن این دادهها ادامه میدهند و هم به ربودن فایلهایی با پسوندهایی مشخص از نرم افزارهای بسیار تخصصی زیر:
- SLDPRT – فرمت SLDPRT یک فرمت مدل سه بعدی و متعلق به SolidWorks است و برای طراحی صنعتی، به ویژه مدل سازی دو بعدی و سه بعدی قطعات و مجموعه ها استفاده میشود.
- Cdw – فرمت دیگری از سیستم CAD، این بار KOMPAS-3D روسی، که برای مدل سازی قطعات و مجموعه ها نیز استفاده میشود.
- m3d – یک فرمت جهانی که توسط برنامههای مختلف برای ایجاد مدلهای سه بعدی از اشیاء مورد استفاده قرار میگیرد.
- dwg – فرمت فایل مورد استفاده برای ذخیره دادهها و متادیتاهای طراحی دو بعدی و سه بعدی (به ویژه که توسط پکیج های نرم افزاری CAD مانند اتوکد، کورل کد و غیره) استفاده میشود.
- اسناد pdf.
قربانیان گروه جاسوسی سایبری Librarian Ghouls
محققان هشدار دادهاند که لیست کاربرانی که گروه جاسوسی سایبری Librarian Ghouls، ایمیل های مخرب خود را برای آن ها ارسال میکند، شامل شرکتهایی است که در زمینه طراحی و مهندسی در صنایع مختلف فعالیت دارند.
آزمایشگاه کسپرسکی این حملات را علیه موسسات تحقیقاتی مختلف، شرکتهای صنایع موشکی، فضایی و هوانوردی، سازندگان تجهیزات پردازش گاز، پتروشیمی، انرژی هستهای و صنایع دفاعی، تولیدکنندگان تجهیزات غواصی، سیستمهای ارتباطی و رادار، تجهیزات ثبت پول نقد، قطعات خودرو، سیستمهای کنترل فرایند خودکار، تجهیزات مخابراتی، تجهیزات ارتباطات امن، دستگاههای نیمه هادی و ماژولهای قدرت شناسایی کرده است.
اقدامات امنیتی و دفاعی
محققان برای محافظت کسب و کارها در برابر چنین ایمیلهای مخربی، توصیه میکنند که:
- از یک گیت وی ایمیل امن استفاده کنید تا منجر به توقف حملات ایمیلهای مخرب قبل از رسیدن به رایانه کارمندان شوید.
- هر سیستم کامیپوتری که به اینترنت متصل است میبایست دارای یک محصول امنیتی باشد که بتواند کدهای در حال اجرا را مورد بررسی قرار دهد و تلاش هکرها برای حملات سایبری را مسدود کند.
- همچنین با استفاده از یک پلتفرم آموزشی تخصصی، سطح آگاهی کارکنان را در مورد تهدیدات سایبری مدرن افزایش دهید.
