شناسایی گروه جاسوسی سایبری جدیدی با نام Gallmaker

به گزارش خبرگزاری صدا و سیما به نقل از روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری، گروه Gallmaker دارای انگیزه‌های سیاسی است و عملیات خود را در بخش‌های دفاعی، سیاسی و دولتی انجام می‌دهد. این گروه از دسامبر ۲۰۱۷ فعال بوده و آخرین حمله آن‌ها در ماه ژوئن بوده است.

این گروه از ابزار‌های هک موجود در اینترنت برای عملیات‌های خود و از پیام‌های فیشینگ حاوی اسناد آفیس مخرب استفاده می‌کنند.

این اسناد از پروتکل DDE بهره می‌برند تا دستور‌ها را در حافظه دستگاه هدف اجرا کنند.

به گفته شرکت تولید کننده آنتی ویروس Symantec، اسناد مخرب این گروه جاسوس سایبری دارای عناوینی با مضامین دولتی، نظامی و دیپلماتیک است و نام فایل‌ها در زبان‌های انگلیسی و سیریلیکی نوشته شده‌اند.

این اسناد پیچیده نیستند، اما شواهد نشان می‌دهد که موثر هستند.

کارشناسان امنیت فضای تولید و تبادل اطلاعات، متوجه شده‌اند که Gallmaker APT از سه آدرس IP برای سرور‌های C&C خود استفاده می‌کند و مهاجمان پس از پایان عملیات، ابزار‌های استفاده شده را در سیستم قربانی پاک می‌کنند.