گروه هکری ریر وولف: سرقت دادهها و ماینینگ رمزارز در روسیه
گروه هکری ریر وولف با حملات سایبری به زیرساختهای روسیه در پی سرقت دادهها و ماینینگ رمزارزهای روسیه
گروه هکری ریر وولف با حملات فیشینگ و سرقت دادهها، رمزارز ماینینگ و نفوذ به زیرساختهای روسیه و کشورهای CIS را هدف قرار داده است.
گروه مجرمان سایبری با نام «ریر وولف» (Rare Werewolf) در حال اجرای کمپین فیشینگ هدفمند علیه شرکتهای روسی و کشورهای مشترکالمنافع است. این گروه با hijacking دستگاهها، عملیات ماینینگ رمزارز و سرقت دادههای حساس را انجام میدهد.
تحقیقات شرکت کسپرسکی نشان میدهد که گروه «ریر وولف»، که با نامهای «لایبرریَن گولز» (Librarian Ghouls) و «ریزت» (Rezet) نیز شناخته میشود، در طول ماه می فعال بوده و کمپینهای پیدرپی و متمرکزی را علیه سازمانهای روسیه و کشورهای CIS دنبال کرده است. این گروه از ایمیلهای فیشینگ، که ظاهر آنها شبیه ارتباطات رسمی از سوی نهادهای معتبر است، برای فریب قربانیان و باز کردن فایلهای مخرب استفاده میکند.
پس از اجرا، این فایلها امکان دسترسی از راه دور به دستگاهها را برای مهاجمان فراهم میکنند، دادههای حساس مانند اطلاعات ورود و کیفپولهای رمزارزی را سرقت مینمایند و سپس از ماینرهای مونرو (Monero) برای بهرهبرداری از قدرت پردازشی سیستمها بهره میبرند. برای جلوگیری از شناسایی، دستگاههای هکشده به طور خودکار در ساعت ۱ بامداد روشن و در ساعت ۵ صبح خاموش میشوند، که فعالیتهای مخرب در پسزمینه پنهان بماند.
کاسپرسکی گزارش میدهد که هدف اصلی این گروه شرکتهای صنعتی است و مدارس مهندسی نیز در اولویت قرار دارند. ایمیلهای فیشینگ به زبان روسی نوشته شده و غالباً حاوی فایلهایی با نامهای روسی و اسناد فریبنده هستند، که نشان میدهد بیشتر قربانیان این گروه در روسیه یا روسزبانان قرار دارند.
تحقیقات شرکت کاسپراسکی (Kaspersky) نشان دادند که چندین دامنه ممکن است با کمپین Librarian Ghouls مرتبط باشند، هرچند سطح اطمینان در این رابطه پایین است. از این دامنهها، در زمان بررسی، دامنههای users-mail[.]ru و deauthorization[.]online فعال بودند که هر دو میزبان صفحات فیشینگ بودند. این صفحات، با استفاده از اسکریپتهای PHP طراحی شده بودند و هدفشان سرقت اطلاعات ورود کاربران به سرویس پست الکترونیکی Mail.ru، یکی از محبوبترین خدمات ایمیل در روسیه، بود.
بر اساس گزارش منتشر شده توسط شرکت کاسپراسکی (Kaspersky)، حملههای گروه تهدیدهای پیشرفته و مداوم با نام «لایبرین گولز» (Librarian Ghouls) هنوز ادامه دارد. این گروه حملات خود را تا ماه گذشته نیز به طور فعال انجام داده است و عملیات آنها همچنان در جریان است.
منبع: کریپتو.نیوز
