چارمینگ کیتن برای حمله به اهدافی در برزیل، اسرائیل و امارات از بکدر جدید «اسپانسور» استفاده می‌کند

گروه هکری ایرانی موسوم به «چارمینگ کیتن» وابسته به سپاه پاسداران، به موج تازه‌ای از حملات سایبری منسوب شده است. در این سلسله حملات، این گروه از یک بکدر بکلی جدید به نام «اسپانسور» (sponsor) استفاده می‌کند تا اهدافی در کشورهای برزیل، اسرائیل و امارات متحده عربی را مورد حمله قرار دهد.

به گزارش شرکت امنیت سایبری «ESET» که این حملات را کشف کرد، به نظر می‌رسد اهداف اصلی عاملان هک، سازمان‌های آموزشی، دولتی و بهداشتی و فعالان حقوق بشر و روزنامه‌نگاران در کشورهای فوق‌الذکر بوده است.

تا به حال دست کم ۳۴ قربانی بکدر «اسپانسور» شناسایی شده‌اند و اولین مورد در ماه سپتامبر سال ۲۰۲۱ میلادی ثبت شد.

یکی از محققین شرکت «ESET» در این باره اظهارنظر کرد «این بکدر از فایل‌های کانفیگ ذخیره شده روی دیسک استفاده می‌کند.» و افزود «این فایل‌ها به طور غیرمشهود از طریق فایل‌های بچ فعال می‌شوند و به گونه‌ای طراحی شده‌اند که با داشتن ظاهر و غیرمخرب می‌توانند از سوی برنامه‌های آنتی‌ویروس شناسایی نشده و پنهانی به کار خود ادامه دهند.»

این کمپین که بعنوان «Sponsoring access» شناخته می‌شود از آسیب‌پذیری‌هایی که در سرورهای مایکروسافت اکسچنج قبلا شناخته شده بود بهره‌برداری می کند تا دسترسی به شبکه قربانی را مهیا کند. گفتنی است که در ماه نوامبر سال گذشته این روش حمله در اطلاعیه‌ای که توسط آمریکا، انگلیس و استرالیا منتشر شد، فاش شده بود.

علاوه بر این، گزارش شده است که این گروه به یک شرکت ناشناس اسرائیلی که مدیریت یک سایت بازاریابی بیمه را به عهده دارد، نفوذ و به این بکدر آلوده کرده بود و در حین این حمله و طی ماه‌های بعدی، بارویروس‌هایی مانند powerless، plink و merlin را نصب و اجرا می‌کرد.

این محقق درمورد merlin تشریح کرد که ابتدا این بارویروس یک meterpreter reverse shell را فعال می کند که به یک سرور فرمان و کنترل متصل است و سپس چند فایل در شبکه نصب می‌شوند که بوسیله آنها هکرها می‌توانند بکدر «اسپانسور» را در سیستم مورد هدف اجرا کنند.

جالب است بدانید که این بکدر در زبان برنامه‌نویسی C++ طراحی شده است و می‌تواند فرمان‌های را از راه دور دریافت و اجرا نموده و اطلاعات راجع به سرور آلوده‌شده را جمع‌آوری کند. به نظر می‌رسد که این گروه به کار خود از جمله عملیات اسکن و هبره‌برداری ادامه خواهد داد و ابزارهای جدید و پیشرفته‌تری را نیز به چنته خود اضافه نماید.