حملات فیشینگ چندزبانه ZIP

حمله فیشینگ چندزبانه با فایل‌های ZIP؛ تهدیدی جدید علیه بانک‌ها و نهادهای دولتی در آسیا

یک کارزار فیشینگ پیشرفته با بهره‌گیری از فایل‌های ZIP چندزبانه، بانک‌ها و سازمان‌های دولتی را در شرق و جنوب شرق آسیا هدف قرار داده است. این حملات با هماهنگی بی‌سابقه و استفاده از زیرساخت خودکار، نشان‌دهنده سطح جدیدی از تهدیدات سایبری در منطقه است.

بر اساس گزارش محققان امنیتی Hunt.io که از مجموعه داده‌های AttackCapture™ و HuntSQL™ استفاده کرده‌اند، شبکه‌ای متشکل از ۲۸ وب‌سایت مخرب در سه گروه زبانی مختلف شناسایی شده است. این وب‌سایت‌ها با تقلید از فرم‌ها و اسناد رسمی دولتی، فایل‌های آلوده را در قالب ZIP و RAR برای کاربران ارسال می‌کنند.

کارزار جدید با استفاده از زبان‌های چینی، ژاپنی و انگلیسی فعالیت می‌کند و هدف آن گسترش دامنه حملات در کشورهای تایوان، هنگ‌کنگ، ژاپن، اندونزی، مالزی و سایر کشورهای منطقه است. مجرمان سایبری با تطبیق محتوای صفحات و نام فایل‌ها با زمینه‌های اداری و مالی محلی، احتمال موفقیت فیشینگ را به‌طور چشمگیری افزایش داده‌اند.

از نظر فنی، تمام وب‌سایت‌های شناسایی‌شده از ساختار مشابهی شامل اسکریپت‌های download.php و visitor_log.php استفاده می‌کنند که نشان‌دهنده وجود یک زیرساخت مرکزی و خودکار برای مدیریت کمپین است. سرورها عمدتاً در شرکت Kaopu Cloud HK Limited (AS138915) میزبانی می‌شوند و در شهرهای توکیو، سنگاپور، هنگ‌کنگ، تایلند و کامبوج توزیع شده‌اند.

جزئیات خوشه‌های زبانی

• خوشه چینی: شامل ۱۲ وب‌سایت با فایل‌هایی با نام‌هایی مانند فاکتور مالیاتی، اظهارنامه واردات و صادرات، فرم‌های تأیید مالی و اسناد نظارتی.

• خوشه انگلیسی: ۱۲ وب‌سایت با تمرکز بر شرکت‌های جنوب شرق آسیا، با فایل‌هایی با مضامین مالیاتی و منابع انسانی.

• خوشه ژاپنی: شامل ۴ وب‌سایت با اسناد مرتبط با حقوق و اطلاعیه‌های آژانس مالیاتی ملی ژاپن.

محققان با استفاده از داده‌های پیشین Fortinet Threat Intelligence توانستند این کمپین را شناسایی کنند. آن‌ها با بررسی دامنه‌های مشابه از جمله zxp0010w[.]vip و دیگر دامنه‌های با پسوندهای .vip، .sbs، .cc، .cn، به الگوی مشابهی از فایل‌ها و اسکریپت‌ها دست یافتند.

تکامل نسبت به حملات گذشته

این عملیات ادامه‌ای از کارزارهای فیشینگ سال‌های ۲۰۲۴ و اوایل ۲۰۲۵ است که در ابتدا با بدافزار Winos 4.0 در تایوان آغاز شد و سپس خانواده بدافزار HoldingHands را در کشورهای دیگر پخش کرد.

تحلیل‌ها نشان می‌دهد که مهاجمان از سال ۲۰۲۳ تاکنون از سرورهایی با پورت SSH فعال (OpenBSD OpenSSH 8.0) استفاده می‌کنند که نشان‌دهنده زیرساخت پایدار و مدیریت‌شده است.

در گذشته این حملات از سرویس‌های ابری مانند Tencent Cloud استفاده می‌کردند، اما اکنون مهاجمان با ایجاد دامنه‌های سفارشی با نشانه‌های منطقه‌ای مانند “tw” و “jp”، سطح جدیدی از امنیت عملیاتی و کنترل زیرساخت را به نمایش گذاشته‌اند.

توصیه‌های امنیتی برای مدیران شبکه

• مسدودسازی دامنه‌های شناسایی‌شده و نظارت بر دامنه‌های جدید با الگوهای مشابه.

• پیکربندی فایروال و درگاه‌های ایمیل برای تشخیص فایل‌های ZIP و RAR با مضامین مالی یا منابع انسانی.

• آموزش کاربران برای شناسایی لینک‌های مشکوک و فایل‌های ظاهراً رسمی.

• استفاده از سیستم‌های مانیتورینگ و هشدار سریع مانند Hunt.io برای تشخیص الگوهای تکراری در فایل‌های مخرب.

• محدود کردن سطح دسترسی کاربران برای اجرای اسکریپت‌ها و فایل‌های فشرده ناشناخته.

این حملات چندزبانه نشان می‌دهد که مجرمان سایبری با بهره‌گیری از زیرساخت‌های توزیع‌شده و تکنیک‌های مهندسی اجتماعی محلی، تهدیدات فرامرزی پیچیده‌تری را رقم زده‌اند. همکاری بین‌المللی در اشتراک اطلاعات تهدیدات، کلید مقابله مؤثر با چنین کارزارهایی است.

خدمات امنیت سایبری روت نت