به گزارش سیتنا، روزنامه «یدیعوت آحارونوت» گزارش داد این عملیات بر پایه مهندسی اجتماعی عمیق طراحی شده است و گروه هکرها که با نام‌هایی مانند APT42 و CharmingCypress نیز شناخته می‌شود، رویکردی متفاوت از حملات گسترده و کور در پیش گرفته و بر نفوذ دقیق به افراد مشخص در بخش‌های دفاعی و دولتی متمرکز است. 

نیر بار یوسف، رئیس واحد دفاع سایبری رژیم اسرائیل، اعلام کرد که مهاجمان روزها یا حتی هفته‌ها صرف ایجاد ارتباطی شبیه رابطه حرفه‌ای یا شخصی واقعی با اهداف خود می‌کنند. 

او گفت این حملات دیگر صرفا برای سرقت گذرواژه‌ها انجام نمی‌شود، بلکه هدف، ایجاد دسترسی طولانی‌مدت و پنهان به افراد کلیدی است.

در این گزارش آمده است که تاکتیک‌های متداول مهاجمان شامل دعوت‌نامه‌های ظاهرا معتبر برای شرکت در «کنفرانس‌های معتبر» یا تنظیم «جلسات سطح بالا» است. 

یکی از ابزارهای محوری این شبکه، پیام‌رسان واتس‌اپ معرفی شده است؛ بستری که به‌دلیل ظاهر آشنا، زمینه‌ساز ایجاد اعتماد اولیه با هدف می‌شود.

کارشناسان امنیتی توضیح دادند که پس از مرحله شناخت اولیه، فرد مهاجم با هویت جعلی، اما مبتنی بر شخصیتی واقعی، با هدف تماس می‌گیرد و پس از جلب اطمینان، لینکی آلوده ارسال می‌کند که زنجیره حمله را فعال می‌کند. برای اهداف کم‌اهمیت‌تر، صفحات جعلی جلسه آنلاین به کار گرفته می‌شود که داده‌های ورود کاربر را در همان لحظه ثبت می‌کند. اما در مورد افراد با ارزش اطلاعاتی بالا، مهاجمان تلاش می‌کنند یک «در پشتی» پیشرفته با نام «TAMECAT» را نصب کنند؛ ابزاری مبتنی بر پاورشل که شرکت گوگل آن را شناسایی کرده و ردیابی آن با ابزارهای معمول امنیتی دشوار است. همچنین از قابلیت‌های داخلی ویندوز و پروتکل WebDAV برای آماده‌سازی محموله آلوده استفاده می‌شود.

برای پنهان‌سازی جریان اطلاعات، زیرساخت فرماندهی و کنترل حمله بر بستر سرویس‌های مشروعی مانند تلگرام و دیسکورد بنا شده است؛ روشی که باعث می‌شود تبادل داده‌ها طبیعی به نظر برسد. 

انتهای پیام