افشای اکوسیستم فیشینگ سه اپراتور Evilginx از طریق یک دایرکتوری باز

Infosecurity MagazineUK3 دقیقه مطالعه۱۴۰۵/۰۴/۲۸ ساعت ۰۷:۳۰

تصویر مرتبط با خبر: Open Directory Exposes Three Evilginx Phishing Operators
تصویر مرتبط با خبر: Open Directory Exposes Three Evilginx Phishing Operators
خلاصه سریع

اصل خبر در چند خط

یک سرور بدپیکربندی شده در بوداپست، ابزارها و داده‌های سه اپراتور فیشینگ را افشا کرد که از پلتفرم Evilginx برای حملات AiTM علیه مایکروسافت ۳۶۵ استفاده می‌کردند. لکسفو این سرور را تحلیل کرد و ارتباط کدمدو، یک هکر مصری، را با ابزارهای سفارشی مانند MaDoO Blaster کشف کرد. دو اپراتور دیگر، mail-argenta و saroula01، از طریق فورک‌های Evilginx و سوءاستفاده از جریان OAuth شناسایی شدند. کمپین saroula01 بیش از یک سال فعال بود و ۲۱۸ قربانی در ۱۲ کشور را هدف گرفت. استفاده از هوش مصنوعی مولد در توسعه ابزارها نیز در میان این اپراتورها مشترک بود.

متن خبر

شرح خبر

یک سرور بدپیکربندی شده در بوداپست، ابزارها و پیکربندی‌های کامل سه اپراتور فیشینگ را که از پلتفرم Evilginx برای حملات «مهاجم در میانه» (AiTM) علیه حساب‌های شرکتی مایکروسافت ۳۶۵ استفاده می‌کردند، افشا کرد. تحقیقات شرکت امنیتی فرانسوی لکسفو نشان داد که این سرور حاوی فایل‌های پیکربندی فیشینگ، لاگ‌های اعتبارنامه‌ها، نصب‌کننده‌های مدیریت از راه دور و حتی جلسات تلگرام اپراتورها بود. یکی از این اپراتورها، کدمدو، با یک هکر مصری مرتبط است که از سال ۲۰۱۸ فعال بوده و از ابزارهای سفارشی مانند MaDoO Blaster برای ارسال ایمیل‌های انبوه استفاده می‌کرد. دو اپراتور دیگر، mail-argenta (نیجریه‌ای) و saroula01، به ترتیب از طریق لاگ‌های دزد اطلاعاتی و سوءاستفاده از جریان کد دستگاه OAuth شناسایی شدند. کمپین saroula01 بیش از یک سال بدون تشخیص اجرا شد و ۲۱۸ قربانی در ۱۲ کشور را هدف قرار داد که ۹۴ درصد آنها شرکتی بودند. یک سرور بدپیکربندی شده در بوداپست، ابزارها و داده‌های سه اپراتور فیشینگ را افشا کرد که از پلتفرم Evilginx برای حملات AiTM علیه مایکروسافت ۳۶۵ استفاده می‌کردند. لکسفو این سرور را تحلیل کرد و ارتباط کدمدو، یک هکر مصری، را با ابزارهای سفارشی مانند MaDoO Blaster کشف کرد. دو اپراتور دیگر، mail-argenta و saroula01، از طریق فورک‌های Evilginx و سوءاستفاده از جریان OAuth شناسایی شدند. کمپین saroula01 بیش از یک سال فعال بود و ۲۱۸ قربانی در ۱۲ کشور را هدف گرفت. استفاده از هوش مصنوعی مولد در توسعه ابزارها نیز در میان این اپراتورها مشترک بود. این کشف نشان می‌دهد که موانع اجرای حملات فیشینگ پیشرفته به شدت کاهش یافته است، زیرا ابزارها به صورت رایگان در گیتهاب یا با قیمت کم در تلگرام در دسترس هستند. حملات AiTM می‌توانند احراز هویت چندعاملی (MFA) را دور بزنند و دسترسی بلندمدت به حساب‌های قربانیان را فراهم کنند. علاوه بر این، استفاده از هوش مصنوعی مولد در توسعه ابزارهای فیشینگ، سرعت و کارایی این حملات را افزایش می‌دهد و تهدیدات سایبری را پیچیده‌تر می‌کند. شرکت‌ها و سازمان‌ها در معرض خطر از دست دادن داده‌های حساس، دسترسی غیرمجاز به سیستم‌ها و آسیب‌های مالی ناشی از حملات فیشینگ قرار دارند. حملات AiTM می‌توانند به سرقت اطلاعات احراز هویت و دسترسی بلندمدت به حساب‌های شرکتی منجر شوند. این موضوع می‌تواند اعتماد مشتریان و شرکا را تحت تأثیر قرار دهد و هزینه‌های مالی و قانونی سنگینی را به همراه داشته باشد. شرکت‌ها و سازمان‌های ایرانی نیز می‌توانند هدف این حملات قرار گیرند، به ویژه آنهایی که از خدمات ابری مایکروسافت استفاده می‌کنند. حملات فیشینگ می‌توانند به سرقت اطلاعات حساس و دسترسی غیرمجاز به سیستم‌های داخلی منجر شوند. علاوه بر این، استفاده از ابزارهای فیشینگ در دسترس عمومی، خطر حملات سایبری را برای سازمان‌های ایرانی افزایش می‌دهد. این کشف نشان می‌دهد که ابزارهای فیشینگ و حملات سایبری به سرعت در حال تکامل هستند و قوانین و مقررات فعلی ممکن است برای مقابله با آنها کافی نباشند. سازمان‌ها باید اقدامات امنیتی خود را به روز کنند و از فناوری‌های جدید برای شناسایی و جلوگیری از حملات استفاده کنند. علاوه بر این، همکاری بین‌المللی برای مقابله با تهدیدات سایبری ضروری است. این حمله نشان‌دهنده همکاری‌های بین‌المللی در حوزه سایبری است، زیرا اپراتورهای مصری، نیجریه‌ای و دیگران در توسعه و اجرای حملات فیشینگ همکاری داشته‌اند. این موضوع می‌تواند تنش‌های ژئوپلیتیکی را در حوزه امنیت سایبری افزایش دهد و نیاز به همکاری بین‌المللی برای مقابله با تهدیدات سایبری را برجسته کند. Infosecurity Magazine - گزارش تحقیقی شرکت امنیتی لکسفو یک سرور بدپیکربندی شده در بوداپست، ابزارها و داده‌های سه اپراتور فیشینگ را افشا کرد که از Evilginx برای حملات AiTM علیه مایکروسافت ۳۶۵ استفاده می‌کردند. کمپین‌ها بیش از یک سال فعال بودند و صدها قربانی را هدف گرفتند.

این صفحه خلاصه و تحلیل فارسی خبر را نمایش می‌دهد. نسخه کامل/اصلی از طریق لینک منبع در دسترس است.

تحلیل تحریریه

ابعاد مهم خبر

چرا مهم است؟

این کشف نشان می‌دهد که موانع اجرای حملات فیشینگ پیشرفته به شدت کاهش یافته است، زیرا ابزارها به صورت رایگان در گیتهاب یا با قیمت کم در تلگرام در دسترس هستند. حملات AiTM می‌توانند احراز هویت چندعاملی (MFA) را دور بزنند و دسترسی بلندمدت به حساب‌های قربانیان را فراهم کنند. علاوه بر این، استفاده از هوش مصنوعی مولد در توسعه ابزارهای فیشینگ، سرعت و کارایی این حملات را افزایش می‌دهد و تهدیدات سایبری را پیچیده‌تر می‌کند.

اثر کسب‌وکاری

شرکت‌ها و سازمان‌ها در معرض خطر از دست دادن داده‌های حساس، دسترسی غیرمجاز به سیستم‌ها و آسیب‌های مالی ناشی از حملات فیشینگ قرار دارند. حملات AiTM می‌توانند به سرقت اطلاعات احراز هویت و دسترسی بلندمدت به حساب‌های شرکتی منجر شوند. این موضوع می‌تواند اعتماد مشتریان و شرکا را تحت تأثیر قرار دهد و هزینه‌های مالی و قانونی سنگینی را به همراه داشته باشد.

اثر احتمالی برای ایران

شرکت‌ها و سازمان‌های ایرانی نیز می‌توانند هدف این حملات قرار گیرند، به ویژه آنهایی که از خدمات ابری مایکروسافت استفاده می‌کنند. حملات فیشینگ می‌توانند به سرقت اطلاعات حساس و دسترسی غیرمجاز به سیستم‌های داخلی منجر شوند. علاوه بر این، استفاده از ابزارهای فیشینگ در دسترس عمومی، خطر حملات سایبری را برای سازمان‌های ایرانی افزایش می‌دهد.

ارتباط با LegalTech

این کشف نشان می‌دهد که ابزارهای فیشینگ و حملات سایبری به سرعت در حال تکامل هستند و قوانین و مقررات فعلی ممکن است برای مقابله با آنها کافی نباشند. سازمان‌ها باید اقدامات امنیتی خود را به روز کنند و از فناوری‌های جدید برای شناسایی و جلوگیری از حملات استفاده کنند. علاوه بر این، همکاری بین‌المللی برای مقابله با تهدیدات سایبری ضروری است.

زاویه رسانه/کشور منبع

Infosecurity Magazine - گزارش تحقیقی شرکت امنیتی لکسفو

برچسب‌ها