آلوده کردن قربانیان از طریق ارسال پیغامهای لینکدین حاوی بدافزار
یک کمپین فیشینگ با نام APT34، از قربانیانش میخواهد که به شبکه اجتماعی آنها بپیوندند تا از این طریق آنها را مورد حمله هکری قرار دهد.
به گزارش شرکت امنیتی فایر آی (FireEye)، مهاجمان خود را به عنوان سخنرانی از دانشگاه کمبریج معرفی میکنند و برای اثبات ادعایشان یک حساب کاربری لینکدین جعلی را برای قربانیان خود ارسال میکنند تا از این طریق با آنها در ارتباط باشند. حمله کنندگان از طریق این حساب کاربری از دوستان خود میخواهند که اسناد مخربی را باز کنند.
گروه APT34 که با اسامی دیگری ازجمله اویلریگ (OilRig) یا گرینباگ (Greenbug) نیز قابل شناسایی است، به منظور فعالیتهای سایبری-جاسوسی ایجاد شده و به هدف قرار دادن سازمانهای اجرایی واقع در خاورمیانه نظیر نهادهای دولتی و سازمانهای مالی، شهرت دارند.
این گروه با بهره گیری از ابزارهای عمومی و غیردولتی، اطلاعات استراتژیک مورد نیاز خود را جمعآوری میکند. آنها در حملات فیشینگ خود از سه بدافزار جدید و یک بدافزار قدیمی به نام Pickpocket که به صورت اختصاصی تنها توسط APT34 مورد استفاده قرار میگیرد، بهره میبرند.
گروه APT34 با ارسال یک پیغامهای لینکدینی محتوی فایلی به نام ERFT-Details.xls از سوی تیم تحقیقاتی دانشگاه کمبریج، حمله بدافزاری خود را آغاز میکنند. این پیغامهای جعلی لینکدین از کاربران درخواست میکنند که رزومههای خود را برای فرصتهای شغلی احتمالی دانشگاه کمبریج ارسال نمایند.
این نخستین بار نیست که APT34 با استفاده از ارایه پیشنهادات شغلی و آکادمیکی قربانیانش را هدف حمله قرار میدهد. معمولاً استفاده از پلتفرمهایی نظیر شبکههای اجتماعی در شرایطی که سازمانهای هدف به شکل گستردهای روی امنیت ایمیلهای خود تمرکز کرده باشند، میتواند مکانیزمی تاثیرگذار باشد.
طبق بررسی شرکت فایر آی، هکرهای APT34 دائماً استراتژیهای خود را تغییر میدهند و سعی میکنند با کمک بدافزارهای جدید و بهره برداری از ابزاری نظیر شبکههای اجتماعی، تشخیص فعالیتهایشان را برای کارشناسان امنیتی دشوارتر کنند.
