این کمپین هک مخفیانه از ترفند جدیدی برای ارائه بدافزار خود استفاده می کند
Geppei دستورات را از یک گزارش قانونی IIS میخواند، که برای ضبط دادههای IIS، مانند صفحات وب و برنامهها است. در این سناریو، مهاجمان می توانند با پنهان کردن آنها به عنوان درخواست های دسترسی وب، دستورات را به یک وب سرور در معرض خطر ارسال کنند و در حالی که IIS آنها را به صورت عادی ثبت می کند، تروجان می تواند آنها را به عنوان دستور بخواند. دستورات خوانده شده توسط Geppei حاوی فایلهای رمزگذاری شده مخربی هستند که در یک پوشه دلخواه ذخیره میشوند و به عنوان درهای پشتی اجرا میشوند.
تکنیکهایی که سازمانها میتوانند برای کمک به جلوگیری یا شناسایی حملات استفاده کنند شامل استفاده از احراز هویت دو مرحلهای در حسابها، اتخاذ تقسیمبندی شبکه و اجتناب از استفاده از رمزهای عبور پیشفرض است.
کمپین بوده است جزئیات توسط محققان امنیت سایبری در Symantec، که می گویند مهاجمان می توانند بیش از 18 ماه را در شبکه های قربانیان سپری کنند و همه اینها در حالی است که اقداماتی را انجام می دهند تا اطمینان حاصل شود که فعالیت آنها زیر رادار باقی می ماند تا از شناسایی در آنچه تصور می شود یک عملیات جمع آوری اطلاعات و جاسوسی است جلوگیری شود.
“توسعه بدافزارهای سفارشی و ابزارهای جدید نیاز به سطح خاصی از مهارت ها و منابع دارد که همه عوامل تهدید از آن برخوردار نیستند، بنابراین به این معنی است که کسانی که پشت کرانفلای هستند سطح خاصی از مهارت ها را دارند که آنها را قادر می سازد حملات سایبری مخفیانه و خلاقانه انجام دهند.” گفت ای گورمن.
O Gorman توصیه میکند: «سازمانها باید یک استراتژی دفاعی عمیق را اتخاذ کنند و از فناوریهای متعدد شناسایی، حفاظت و سختسازی برای کاهش خطر در هر نقطه از زنجیره حمله احتمالی استفاده کنند.»
Brigid O Gorman، “استفاده از گزارشهای IIS توسط مهاجم یکی از جالبترین چیزها در مورد این کمپین است. تکنیک خواندن دستورات از گزارشهای IIS چیزی نیست که محققان سیمانتک تا به امروز شاهد استفاده از آن در حملات دنیای واقعی بودهاند.” تحلیلگر ارشد اطلاعاتی در تیم Symantec Threat Hunter به ZDNET گفت.
این کمپین گسترده نیست، اما این بدان معنا نیست که خطری برای سازمانها ایجاد نمیکند – به خصوص که کمپین همچنان فعال است و کسانی که پشت آن هستند تکنیکهای جدیدی را برای پنهان کردن حملات به کار میگیرند. با این حال، اقداماتی برای کمک به جلوگیری از این حمله و سایر کمپینهای سایبری مخرب وجود دارد.
مهاجمان سعی میکنند با نصب دربهای پشتی روی وسایلی که از ابزارهای امنیتی پشتیبانی نمیکنند، مانند آرایههای SANS، متعادلکنندههای بار و کنترلکنندههای نقطه دسترسی بیسیم، زیر رادار بمانند.
همچنین: آینده ترسناک اینترنت: چگونه فناوری فردا تهدیدات امنیتی سایبری بزرگتری را ایجاد خواهد کرد
تصویر: گتی/اریکونا
سیمانتک این حملات را به مهاجم خاصی مرتبط نکرده است. اما محققان در Mandiant قبلاً خاطرنشان کردند که روشهای مورد استفاده در کمپینهای Cranefly/UNC3524 “با تکنیکهای مورد استفاده توسط چندین بازیگر تهدید جاسوسی مستقر در روسیه همپوشانی دارند”.
این حملات به گروهی مرتبط هستند که سیمانتک آن را کرنفلای می نامد – همچنین به عنوان UNC3524 شناخته می شود. محققان پیشنهاد میکنند که روشهای بدیع و بسیار پنهانی مورد استفاده در این کمپین نشان میدهد که این کار یک «بازیگر تهدید نسبتاً ماهر» است که با جمعآوری اطلاعات انگیزه دارد.
نحوه شروع حمله هنوز نامشخص است، اما قربانیان به یک بدافزار که قبلاً مستند نشده بود به نام Geppei آلوده میشوند که برای ارائه شکل دیگری از بدافزار در پشتی به نام Danfuan استفاده میشود که دسترسی مخفیانه به ماشینهای در معرض خطر را همراه با توانایی فراهم میکند. برای ردیابی داده های ذخیره شده یا وارد شده در سیستم ها.