هکرهای سوری در حال توزیع Silver RAT مبتنی بر سیشارپ بین مجرمان سایبری
اخبار داغ فناوری اطلاعات و امنیت شبکه
عوامل تهدید که تحت نام Anonymous Arabic فعالیت میکنند، یک تروجان دسترسی از راه دور (RAT) به نام Silver RAT را منتشر کردهاند که برای دور زدن نرمافزارهای امنیتی و راه اندازی مخفیانه برنامههای کاربردی استفاده میشود.
شرکت امنیت سایبری Cyfirma در گزارشی که هفته گذشته منتشر شد، گفت: "توسعهدهندگان بر روی چندین فروم هکرها و پلتفرمهای رسانههای اجتماعی کار میکنند و حضور فعال و پیچیدهای را به نمایش میگذارند".
این مهاجمان که اصالتا سوریهای ارزیابی میشوند و مرتبط با توسعه RAT دیگری به نام S500 RAT هستند، همچنین یک کانال تلگرامی را راه اندازی میکنند که خدمات مختلفی مانند توزیع رتهای کرک شده، پایگاه دادههای لو رفته، فعالیتهای کاردینگ و فروش باتهای فیس بوک و X (توئیتر سابق) را ارائه میدهد.
سپس باتهای رسانههای اجتماعی توسط سایر مجرمان سایبری برای تبلیغ خدمات غیرقانونی مختلف با درگیر شدن خودکار با محتوای کاربر و کامنتینگ آن استفاده میشود.
شناسایی Silver RAT v1.0 در فضای سایبری برای اولینبار در نوامبر ۲۰۲۳ مشاهده شد، اگرچه برنامههای عامل تهدید جهت انتشار تروجان برای اولینبار یک سال قبل رسمی شد، که در حدود اکتبر ٢٠٢٣ کرک شده و در تلگرام لو رفت.
بدافزار مبتنی بر سی شارپ دارای طیف گستردهای از ویژگیها برای اتصال به سرور command-and-control (C2)، ثبت کلیدهای ورودی، تخریب نقاط بازیابی سیستم و حتی رمزگذاری دادهها با استفاده از باجافزار است. همچنین نشانههایی وجود دارد که نسخه اندروید آن نیز در دست ساخت است.
این شرکت خاطرنشان کرد: "هنگام تولید payload با استفاده از بیلدر Silver RAT، عاملان تهدید میتوانند گزینههای مختلفی را با اندازه payload حداکثر تا ۵٠ کیلوبایت انتخاب کنند. پس از اتصال، قربانی در پنل Silver RAT کنترل شده توسط مهاجم ظاهر میشود، که گزارشهای مربوط به قربانی را بر اساس عملکردهای انتخاب شده نمایش میدهد".
یکی از ویژگیهای جالب عدم شناسایی که در Silver RAT تعبیه شده است، توانایی آن در به تاخیر انداختن اجرای payload تا یک زمان خاص و همچنین راهاندازی مخفیانه برنامهها و در اختیار گرفتن کنترل میزبان یا قربانی در معرض خطر است.
تجزیهوتحلیل بیشتر از ردپای آنلاین نویسنده بدافزار نشان میدهد که یکی از اعضای این گروه احتمالا در اواسط ٢٠سالگی خود است و در دمشق مستقر است.
درنهایت Cyfirma گفت: "به نظر میرسد توسعهدهنده بدافزار، بر اساس پستهای تلگرامی خود از فلسطین حمایت میکند و اعضای مرتبط با این گروه در عرصههای مختلف ازجمله رسانههای اجتماعی، پلتفرمهای توسعه، انجمنهای زیرزمینی و وبسایتهای Clearnet فعال هستند که نشان میدهد آنها در توزیع بدافزارهای مختلف مشارکت دارند".
برچسب ها: Syria, سوریه, Anonymous Arabic, S500 RAT, Silver RAT v1.0, Silver RAT, باجافزار, Bot, Remote Access Trojan, RAT, malware, ransomware , Cyber Security, Telegram, جاسوسی سایبری, امنیت سایبری, جنگ سایبری, تلگرام, Cyber Attacks, حمله سایبری, news