به گزارش موبوایران، محققان امنیت سایبری در مورد روش های به ظاهر ساده گروههای هک هشدار میدهند.
گروههای هکر مورد حمایت دولت از یک تکنیک جدید ساده اما مؤثر برای تقویت کمپینهای فیشینگ برای انتشار بدافزارها و سرقت اطلاعات مورد علاقه دولتهایشان استفاده میکنند.
محققان امنیت سایبری در Proofpoint میگویند که گروههای هکری که به نمایندگی از منافع روسیه، چین و هند کار میکنند، از قالب متن غنی(Rich Text Format) استفاده میکنند.
در حالی که استفاده از پیوست های فایل متنی RTF در ایمیل های فیشینگ جدید نیست، تکنیکی که توسط هکرها استفاده می شود آسان تر و موثرتر است زیرا تشخیص آن برای نرم افزار آنتی ویروس سخت تر است و بسیاری از سازمان ها فایل های RTF را به طور پیش فرض مسدود نمی کنند زیرا آنها بخشی از عملیات روزمره تجاری هستند.
مهاجمان می توانند از تزریق قالب RTF برای باز کردن اسناد در مایکروسافت ورد استفاده کنند، که از URL مخرب برای بازیابی استفاده می کند در حالی که از Word برای نمایش سند فریب نیز استفاده می کند.
به گفته محققان، اولین نمونه شناخته شده از یک گروه APT با استفاده از تزریق الگوی RTF در کمپینی در فوریه 2021 بود. این تزریق ها توسط DoNot Team، یک گروه APT که با منافع دولت هند مرتبط است، انجام شد.
از آن زمان، چندین عملیات هک مرتبط با دولت نیز دیده شده اند که تزریق RTF به کار می برند. اینها شامل یک گروه Proofpoint به نام TA423 است که به عنوان Leviathan نیز شناخته می شود، که یک گروه ATP است که با چین مرتبط است و از ماه آوریل در چندین کمپین از حملات RTF استفاده کرده است.
در حالی که تنها تعداد معدودی از گروههای APT تا کنون تلاش کردهاند حملات مبتنی بر RTF را به کار گیرند، محققان هشدار میدهند که اثربخشی این تکنیک همراه با سهولت استفاده از آن احتمالاً پذیرش آن را در سراسر چشمانداز تهدید بیشتر میکند و این میتواند به معنای استفاده کمپینهایی از این تکنیک باشد. توسط مجرمان سایبری با انگیزه مالی پذیرفته شده اند.