گروه مزدور سایبری باهاموت دوباره از طریق برنامه های جعلی VPN اندروید حمله می کند

تحقیقات جدید ESET یک گروه مزدور سایبری بدنام در حال تزریق یک نرم افزار جاسوسی به دستگاه های اندرویدی برای سرقت مکالمات کاربران است. () تایید می کند.

این حملات بدافزار از طریق برنامه های جعلی VPN اندروید راه اندازی می شوند. شواهد نشان می دهد که هکرها از نسخه های مخرب نرم افزار SecureVPN، SoftVPN و OpenVPN استفاده کرده اند.

این گروه که با نام Bahamut ATP شناخته می شود، تصور می شود که سرویسی برای استخدام است که معمولاً از طریق پیام های فیشینگ نیزه ای و برنامه های کاربردی جعلی حملاتی را انجام می دهد. بر اساس گزارش های قبلی، هکرهای آن از سال 2016 سازمان ها و افراد را در سراسر خاورمیانه و جنوب آسیا هدف قرار داده اند.

تخمین زده می شود که در ژانویه 2022 آغاز شده باشد، محققان ESET معتقدند که کمپین این گروه برای توزیع VPN های مخرب در حال حاضر ادامه دارد.

از ایمیل های فیشینگ گرفته تا VPN های جعلی

لوکاش استفانکو، محقق ESET که برای اولین بار این بدافزار را کشف کرد، گفت: “به نظر می رسد که این کمپین بسیار هدفمند است، زیرا ما هیچ نمونه ای در داده های تله متری خود نمی بینیم.”

“علاوه بر این، برنامه قبل از اینکه VPN و عملکرد جاسوس افزار فعال شوند، یک کلید فعال سازی درخواست می کند. هم کلید فعال سازی و هم پیوند وب سایت احتمالا برای کاربران هدف ارسال می شوند.”

استفانکو توضیح می دهد که پس از فعال شدن برنامه، هکرهای باهاموت می توانند از راه دور نرم افزارهای جاسوسی را کنترل کنند. این بدان معنی است که آنها قادر به نفوذ و جمع آوری یک تن از داده های حساس کاربران هستند.

او گفت: «حذف داده‌ها از طریق عملکرد keylogging این بدافزار انجام می‌شود که از خدمات دسترسی سوء استفاده می‌کند.

از پیام‌های SMS، گزارش تماس‌ها، مکان‌های دستگاه و هر جزئیات دیگری گرفته تا حتی برنامه‌های پیام‌رسانی رمزگذاری‌شده مانند واتس‌اپ، تلگرام یا سیگنال، این مجرمان سایبری می‌توانند تقریباً از هر چیزی که در دستگاه‌های قربانیان پیدا می‌کنند بدون اینکه آن‌ها بدانند جاسوسی کنند.

ESET حداقل هشت نسخه از این سرویس‌های تروجانای VPN را شناسایی کرده است، به این معنی که کمپین به خوبی حفظ شده است.

شایان ذکر است که در هیچ موردی نرم افزارهای مخرب با این سرویس قانونی مرتبط نبودند و هیچ یک از برنامه های آلوده به بدافزار در Google Play تبلیغ نشدند.

اگرچه بردار توزیع اولیه هنوز ناشناخته است. با نگاهی به نحوه عملکرد Bahamut ATP، یک پیوند مخرب ممکن است از طریق ایمیل، رسانه های اجتماعی یا پیامک ارسال شده باشد.

درباره APT باهاموت چه می دانیم؟

علیرغم اینکه هنوز مشخص نیست چه کسی پشت سر است، به نظر می رسد ATP باهاموت مجموعه ای از هکرهای مزدور است زیرا حملات آنها واقعاً منافع سیاسی خاصی را دنبال نمی کند.

باهاموت از سال 2016 به طور گسترده در حال اجرای کمپین های جاسوسی سایبری، عمدتاً در سراسر خاورمیانه و جنوب آسیا است.

گروه روزنامه نگاری تحقیقی Bellingcat اولین کسی بود که عملیات خود را در سال 2017 افشا کرد و توضیح داد که چگونه قدرت های بین المللی و منطقه ای به طور فعال در چنین عملیات های نظارتی شرکت کردند.

بلینگکت نتیجه گرفت: “بنابراین باهاموت به عنوان چشم اندازی از آینده قابل توجه است، جایی که ارتباطات مدرن موانع را برای کشورهای کوچکتر برای نظارت موثر بر مخالفان داخلی و گسترش خود به فراتر از مرزهای خود کاهش داده است.” () به هنگام.

این گروه پس از آن به نام ماهی غول پیکر شناور در دریای عرب در کتاب موجودات خیالی خورخه لوئیس بورخس به باهاموت تغییر نام داد.

اخیراً، تحقیق دیگری نشان داد که چگونه گروه تهدید مداوم پیشرفته (APT) به طور فزاینده ای دستگاه های تلفن همراه را به عنوان هدف اصلی فعال می کند.

شرکت امنیت سایبری Cyble اولین بار این روند جدید را در آوریل گذشته مشاهده کرد ()، با اشاره به اینکه گروه باهاموت “حمله خود را به هدف برنامه ریزی می کند، مدتی در طبیعت می ماند، اجازه می دهد حمله آنها بر افراد و سازمان ها تأثیر بگذارد و در نهایت اطلاعات آنها را می دزدد.”

همچنین در این مورد، محققان بر توانایی مجرمان سایبری برای توسعه چنین سایت فیشینگ با طراحی خوبی برای فریب قربانیان و جلب اعتماد آنها تاکید کردند.

همانطور که لوکاش استفانکو برای حادثه برنامه های جعلی اندروید تایید کرد: “کد جاسوس افزار و در نتیجه عملکرد آن مانند کمپین های قبلی است، از جمله جمع آوری داده ها برای استخراج در پایگاه داده محلی قبل از ارسال آن به سرور اپراتورها، یک تاکتیک است. به ندرت در برنامه های جاسوسی سایبری موبایل دیده می شود.”