🧑‍💻Cyber.vision🧑‍💻

محققان F6 همچنان به رصد فعالیت‌های هکرها ادامه می‌دهند و این بار Core Werewolf ( گزارش ) و Hive0117 ( گزارش ) را هدف قرار داده‌اند.

اولین مورد از آنها جاسوسی سایبری را انجام می‌دهد و سازمان‌های مرتبط با مجتمع نظامی-صنعتی و تأسیسات زیرساخت اطلاعاتی حیاتی را هدف قرار می‌دهد.

این بدافزار که اولین بار در آگوست ۲۰۲۱ مشاهده شد، از نرم‌افزارهای UltraVNC و MeshCentral استفاده می‌کند.

در تاریخ ۲ می، یک فایل .eml در یک محیط آنلاین عمومی بارگذاری شد.

این ایمیل در تاریخ ۲۹ آوریل از al.gursckj@mail[.]ru ارسال شده و حاوی یک پیوست - یک فایل بایگانی محافظت‌شده با رمز عبور به نام Lists_for_load.7z - بوده است که F6 آن را به زرادخانه گروه Core Werewolf نسبت داده است.

داخل آرشیو، یک فایل 7z با یک فایل exe وجود داشت که به شکل لیست جوایز درآمده بود.

اجرای فایل منجر به باز شدن فایل‌ها در یک دایرکتوری موقت، شروع نمایش یک سند PDF، اجرای یک اسکریپت CMD و در نهایت فعال شدن UltraVNC در دستگاه قربانی شد.

پیش از این در ۱۷ آوریل، F6 یک فایل اجرایی مخرب دیگر - doubt.exe - را کشف کرد که در سرویس VirusTotal آپلود شده و به گروه Core Werewolf نسبت داده شده بود.

فایل PDF جعلی «اسناد اسکن‌شده ۷۸۵_استخراج‌شده روی دشمن به عنوان ۰۴_۱۴_به_گزارش.pdf» در آرشیو حاوی اطلاعات نظامی بود، بنابراین احتمالاً از این بدافزار در حملات به سازمان‌های نظامی روسیه استفاده شده است.

علاوه بر آن، این دراپر اسکریپت consciousness.cmd را استخراج کرد که زنجیره‌ای مشابه زنجیره‌ی شرح داده شده در بالا با exception.bat و Divine.bat راه‌اندازی کرد.

این منجر به اجرای همان فایل اجرایی UltraVNC شد و به مهاجمان دسترسی از راه دور به سیستم قربانی را داد.

در عوض، Hive0117 در جریان اجرای یک کمپین فیشینگ در مقیاس بزرگ با استفاده از DarkWatchman افشا شد.

در ۲۹ آوریل، متخصصان F6 فعالیت گروهی را شناسایی کردند که شرکت‌های روسی را در بخش‌های رسانه، گردشگری، امور مالی و بیمه، تولید، خرده‌فروشی، انرژی، مخابرات، حمل‌ونقل و بیوتکنولوژی هدف قرار می‌داد.

Hive0117 یک گروه با انگیزه مالی است که از فوریه 2022 با استفاده از DarkWatchman حملاتی را انجام داده است.

به عنوان یک قاعده، نامه‌ها ماهیتی انبوه دارند.

مهاجمان خود را به عنوان سازمان‌های واقعی جا می‌زنند، زیرساخت‌هایی را برای دامنه‌های پستی و مدیریتی ثبت می‌کنند و اغلب از دامنه‌ها دوباره استفاده می‌کنند.

اهداف اصلی روسیه، بلاروس، لیتوانی، استونی و قزاقستان هستند.

یک ایمیل انبوه جدید با موضوع «اسناد مربوط به تاریخ ۲۹/۰۴/۲۰۲۵» از آدرس manager@alliance-s[.]ru به بیش از ۵۵۰ آدرس ارسال شد.

درون آن یک پیوست به شکل یک بایگانی محافظت‌شده با رمز عبور وجود داشت که با نام‌های «اسنادی از 04/29/2025.rar»، «اسنادی از 04/29/2025.rar» و «اسنادی از 04/29/2025.rar» توزیع شده بود.

باز کردن آرشیو، زنجیره‌ای مخرب را راه‌اندازی کرد که منجر به آلوده شدن سیستم به نسخه اصلاح‌شده‌ای از DarkWatchman شد که قادر به فعالیت مخفیانه و جلوگیری از شناسایی توسط ابزارهای امنیتی سنتی است.

تجزیه و تحلیل‌های بیشتر به ما این امکان را داد که به این نتیجه برسیم که دامنه alliance-s[.]ru با همان داده‌هایی ثبت شده است که دامنه‌های voenkomat-mil[.]ru و absolut-ooo[.]ru که توسط این گروه در نامه‌هایشان در سال ۲۰۲۳ استفاده شده بود، از آن استفاده می‌کردند.

سپس، از دامنه voenkomat-mil[.]ru، نامه‌هایی با پیوست «دستور بسیج شماره 5010421409-VVK مورخ 10.05.2023[.]zip» و از دامنه absolut-ooo[.]ru - «قانون آشتی شماره 114-23 مورخ 29.09.2023[.]zip» ارسال شد.

استفاده مجدد از داده‌های ثبت نام و دامنه‌های C2، تعهد این گروه به استفاده از زیرساخت‌ها و ابزارهای آشنا را نشان می‌دهد.

www.tgoop.com/pythonwithmedev/526

136 viewsMay 14 at 09:23

محققان F6 همچنان به رصد فعالیت‌های هکرها ادامه می‌دهند و این بار Core Werewolf ( گزارش ) و Hive0117 ( گزارش ) را هدف قرار داده‌اند.

اولین مورد از آنها جاسوسی سایبری را انجام می‌دهد و سازمان‌های مرتبط با مجتمع نظامی-صنعتی و تأسیسات زیرساخت اطلاعاتی حیاتی را هدف قرار می‌دهد.

این بدافزار که اولین بار در آگوست ۲۰۲۱ مشاهده شد، از نرم‌افزارهای UltraVNC و MeshCentral استفاده می‌کند.

در تاریخ ۲ می، یک فایل .eml در یک محیط آنلاین عمومی بارگذاری شد.

این ایمیل در تاریخ ۲۹ آوریل از al.gursckj@mail[.]ru ارسال شده و حاوی یک پیوست - یک فایل بایگانی محافظت‌شده با رمز عبور به نام Lists_for_load.7z - بوده است که F6 آن را به زرادخانه گروه Core Werewolf نسبت داده است.

داخل آرشیو، یک فایل 7z با یک فایل exe وجود داشت که به شکل لیست جوایز درآمده بود.

اجرای فایل منجر به باز شدن فایل‌ها در یک دایرکتوری موقت، شروع نمایش یک سند PDF، اجرای یک اسکریپت CMD و در نهایت فعال شدن UltraVNC در دستگاه قربانی شد.

پیش از این در ۱۷ آوریل، F6 یک فایل اجرایی مخرب دیگر - doubt.exe - را کشف کرد که در سرویس VirusTotal آپلود شده و به گروه Core Werewolf نسبت داده شده بود.

فایل PDF جعلی «اسناد اسکن‌شده ۷۸۵_استخراج‌شده روی دشمن به عنوان ۰۴_۱۴_به_گزارش.pdf» در آرشیو حاوی اطلاعات نظامی بود، بنابراین احتمالاً از این بدافزار در حملات به سازمان‌های نظامی روسیه استفاده شده است.

علاوه بر آن، این دراپر اسکریپت consciousness.cmd را استخراج کرد که زنجیره‌ای مشابه زنجیره‌ی شرح داده شده در بالا با exception.bat و Divine.bat راه‌اندازی کرد.

این منجر به اجرای همان فایل اجرایی UltraVNC شد و به مهاجمان دسترسی از راه دور به سیستم قربانی را داد.

در عوض، Hive0117 در جریان اجرای یک کمپین فیشینگ در مقیاس بزرگ با استفاده از DarkWatchman افشا شد.

در ۲۹ آوریل، متخصصان F6 فعالیت گروهی را شناسایی کردند که شرکت‌های روسی را در بخش‌های رسانه، گردشگری، امور مالی و بیمه، تولید، خرده‌فروشی، انرژی، مخابرات، حمل‌ونقل و بیوتکنولوژی هدف قرار می‌داد.

Hive0117 یک گروه با انگیزه مالی است که از فوریه 2022 با استفاده از DarkWatchman حملاتی را انجام داده است.

به عنوان یک قاعده، نامه‌ها ماهیتی انبوه دارند.

مهاجمان خود را به عنوان سازمان‌های واقعی جا می‌زنند، زیرساخت‌هایی را برای دامنه‌های پستی و مدیریتی ثبت می‌کنند و اغلب از دامنه‌ها دوباره استفاده می‌کنند.

اهداف اصلی روسیه، بلاروس، لیتوانی، استونی و قزاقستان هستند.

یک ایمیل انبوه جدید با موضوع «اسناد مربوط به تاریخ ۲۹/۰۴/۲۰۲۵» از آدرس manager@alliance-s[.]ru به بیش از ۵۵۰ آدرس ارسال شد.

درون آن یک پیوست به شکل یک بایگانی محافظت‌شده با رمز عبور وجود داشت که با نام‌های «اسنادی از 04/29/2025.rar»، «اسنادی از 04/29/2025.rar» و «اسنادی از 04/29/2025.rar» توزیع شده بود.

باز کردن آرشیو، زنجیره‌ای مخرب را راه‌اندازی کرد که منجر به آلوده شدن سیستم به نسخه اصلاح‌شده‌ای از DarkWatchman شد که قادر به فعالیت مخفیانه و جلوگیری از شناسایی توسط ابزارهای امنیتی سنتی است.

تجزیه و تحلیل‌های بیشتر به ما این امکان را داد که به این نتیجه برسیم که دامنه alliance-s[.]ru با همان داده‌هایی ثبت شده است که دامنه‌های voenkomat-mil[.]ru و absolut-ooo[.]ru که توسط این گروه در نامه‌هایشان در سال ۲۰۲۳ استفاده شده بود، از آن استفاده می‌کردند.

سپس، از دامنه voenkomat-mil[.]ru، نامه‌هایی با پیوست «دستور بسیج شماره 5010421409-VVK مورخ 10.05.2023[.]zip» و از دامنه absolut-ooo[.]ru - «قانون آشتی شماره 114-23 مورخ 29.09.2023[.]zip» ارسال شد.

استفاده مجدد از داده‌های ثبت نام و دامنه‌های C2، تعهد این گروه به استفاده از زیرساخت‌ها و ابزارهای آشنا را نشان می‌دهد.

BY 🧑‍💻Cyber.vision🧑‍💻