برای کارکرد بهتر وب‌سایت و بهبود تجربه کاربری شما با سرتفا، ما نیاز به اجرای سرویس تجزیه و تحلیل آماری داریم، آیا موافق این موضوع هستید؟

به‌روزرسانی

استفاده هکرهای گروه Chafer از جاسوس‌افزار ریمکسی علیه دیپلمات‌های خارجی در ایران

بررسی‌های جدید محققان نشان می‌دهد که گروه هک Chafer به‌تازگی با به‌روزرسانی جاسوس‌افزار ریمکسی «Remexi»، ضعف‌های این جاسوس‌افزار را اصلاح و قابلیت‌های آن را ارتقاء داده‌‌اند تا از آن برای انجام حملات هک علیه دیپلمات‌های خارجی ساکن در ایران استفاده کنند. گروه Chafer یکی از گروه‌های هک وابسته به حکومت ایران شناخته می‌شود.


13 بهمن 97 | 17:44
استفاده هکرهای گروه Chafer از جاسوس‌افزار ریمکسی علیه دیپلمات‌های خارجی در ایران

براساس خبرهای منتشر شده، گروه هک Chafer که یکی از مجموعه‌های تهدیدگر پیشرفته و مستمر در فضای امنیت سایبری شناخته می‌شود، به‌تازگی با اعمال تغییراتی در کارکرد جاسوس‌افزار ریمکسی «Remexi»، دیپلمات‌های خارجی ساکن ایران را مورد هدف خود قرار داده‌ است.

به گفته تحلیلگران آزمایشگاه کسپرسکی، نسخه اصلاح شده جاسوس‌افزار ریمکسی، از پاییز ۲۰۱۸ توسط گروه هک Chafer مورد استفاده قرار گرفته و می‌تواند اطلاعات مختلف کاربران را مورد هدف قرار دهد.

یافته‌های کسپرسکی نشان می‌دهد که اکثر دستگاه‌های آلوده به جاسوس‌افزار ریمکسی، در دامنه IPهای اختصاص یافته به کشور ایران بوده و اغلب متعلق به دستگاه‌های دیپلمات‌های خارجی که ساکن کشور ایران هستند، بوده است.

ریمکسی یک جاسوس‌افزار پیشرفته محسوب می‌شود که قادر است اطلاعات تایپ شده به‌وسیله کیبود را ذخیره کند؛ همچنین از صفحه نمایش تصویربرداری کرده و اطلاعات مربوط به مرورگر مانند کوکی‌ها و تاریخچه جستجوی کاربر را به مهاجمان ارسال کند.

براساس گزارش کسپرسکی، یکی از نکات قابل توجه در نسخه جدید ریمکسی، این است که سازندگان آن از یکی از ابزارهای رایگان مایکروسافت با نام BITS، که یک سرویس انتقال اطلاعات در پشت‌زمینه است، برای ارتباط با سرورهای کنترل و فرمان استفاده کرده‌اند که همین مساله موجب می‌شود در شبکه قربانی، کمتر از همیشه در معرض دید ابزارهای امنیتی قرار گیرد. به‌صورت معمول ارتباطات شبکه به‌وسیله ابزار BITS، توسط ابزارهای امنیتی مورد بررسی قرار نمی‌گیرد.

علاوه براین، کسپرسکی در گزارش خود به کلیدی با نام «salamati» که در فرآیند رمزگذاری از آن استفاده شده و همچنین نام کاربری «Mohamadreza New» که احتمالا مربوط به توسعه‌دهنده نسخه جدید این جاسوس‌افزار است، اشاره کرده است.

هرچند به‌طور دقیق کسپرسکی از هویت حقیقی و حقوقی افراد پشت‌پرده ریمکسی اظهار بی‌اطلاعی کرده است، اما براساس یافته‌های خود در بررسی نسخه جدید این جاسوس‌افزار به دو شهروند ایرانی با نام‌های محمدرضا رضاخواه و محمدرضا صباحی که در ابتدای نام‌شان «محمدرضا» وجود داشته و تحت تعقیب پلیس فدرال آمریکا به اتهام جرایم رایانه‌ای و نفوذ هستند، اشاره کرده است.

هکرهای گروه Chafer در حملات گذشته خود، سازمان‌ها و بخش‌های گوناگون مانند خطوط هواپیمایی، حمل و نقل هوایی و دریایی، سرویس‌های مخابرات، سرویس‌های پرداخت حقوق و… در کشورهای اسرائیل، اردن، امارات متحده عربی، عربستان سعودی و ترکیه را مورد هدف قرار داده است.

 

 

توضیحات بیشتر در:

Chafer used Remexi malware to spy on Iran-based foreign diplomatic entities