این کمپین هک مخفیانه از ترفند جدیدی برای ارائه بدافزار خود استفاده می کند
مهاجمان سایبری بسیار ماهر از تکنیکی استفاده می کنند که قبلاً دیده نشده بود تا با سوء استفاده از ابزارهای قانونی، قربانیان را مخفیانه با بدافزار آلوده کنند.
Geppei دستورات را از یک گزارش قانونی IIS میخواند، که برای ضبط دادههای IIS، مانند صفحات وب و برنامهها است. در این سناریو، مهاجمان می توانند با پنهان کردن آنها به عنوان درخواست های دسترسی وب، دستورات را به یک وب سرور در معرض خطر ارسال کنند و در حالی که IIS آنها را به صورت عادی ثبت می کند، تروجان می تواند آنها را به عنوان دستور بخواند. دستورات خوانده شده توسط Geppei حاوی فایلهای رمزگذاری شده مخربی هستند که در یک پوشه دلخواه ذخیره میشوند و به عنوان درهای پشتی اجرا میشوند.
این حملات به گروهی مرتبط هستند که سیمانتک آن را کرنفلای می نامد – همچنین به عنوان UNC3524 شناخته می شود. محققان پیشنهاد میکنند که روشهای بدیع و بسیار پنهانی مورد استفاده در این کمپین نشان میدهد که این کار یک «بازیگر تهدید نسبتاً ماهر» است که با جمعآوری اطلاعات انگیزه دارد.
نحوه شروع حمله هنوز نامشخص است، اما قربانیان به یک بدافزار که قبلاً مستند نشده بود به نام Geppei آلوده میشوند که برای ارائه شکل دیگری از بدافزار در پشتی به نام Danfuan استفاده میشود که دسترسی مخفیانه به ماشینهای در معرض خطر را همراه با توانایی فراهم میکند. برای ردیابی داده های ذخیره شده یا وارد شده در سیستم ها.
تصویر: گتی/اریکونا
کمپین بوده است جزئیات توسط محققان امنیت سایبری در Symantec، که می گویند مهاجمان می توانند بیش از 18 ماه را در شبکه های قربانیان سپری کنند و همه اینها در حالی است که اقداماتی را انجام می دهند تا اطمینان حاصل شود که فعالیت آنها زیر رادار باقی می ماند تا از شناسایی در آنچه تصور می شود یک عملیات جمع آوری اطلاعات و جاسوسی است جلوگیری شود.
تکنیکهایی که سازمانها میتوانند برای کمک به جلوگیری یا شناسایی حملات استفاده کنند شامل استفاده از احراز هویت دو مرحلهای در حسابها، اتخاذ تقسیمبندی شبکه و اجتناب از استفاده از رمزهای عبور پیشفرض است.
“توسعه بدافزارهای سفارشی و ابزارهای جدید نیاز به سطح خاصی از مهارت ها و منابع دارد که همه عوامل تهدید از آن برخوردار نیستند، بنابراین به این معنی است که کسانی که پشت کرانفلای هستند سطح خاصی از مهارت ها را دارند که آنها را قادر می سازد حملات سایبری مخفیانه و خلاقانه انجام دهند.” گفت ای گورمن.
سیمانتک این حملات را به مهاجم خاصی مرتبط نکرده است. اما محققان در Mandiant قبلاً خاطرنشان کردند که روشهای مورد استفاده در کمپینهای Cranefly/UNC3524 “با تکنیکهای مورد استفاده توسط چندین بازیگر تهدید جاسوسی مستقر در روسیه همپوشانی دارند”.
همچنین: آینده ترسناک اینترنت: چگونه فناوری فردا تهدیدات امنیتی سایبری بزرگتری را ایجاد خواهد کرد
مهاجمان سعی میکنند با نصب دربهای پشتی روی وسایلی که از ابزارهای امنیتی پشتیبانی نمیکنند، مانند آرایههای SANS، متعادلکنندههای بار و کنترلکنندههای نقطه دسترسی بیسیم، زیر رادار بمانند.
این کمپین گسترده نیست، اما این بدان معنا نیست که خطری برای سازمانها ایجاد نمیکند – به خصوص که کمپین همچنان فعال است و کسانی که پشت آن هستند تکنیکهای جدیدی را برای پنهان کردن حملات به کار میگیرند. با این حال، اقداماتی برای کمک به جلوگیری از این حمله و سایر کمپینهای سایبری مخرب وجود دارد.
گزارشهای IIS بخشی از خدمات سرور ویندوز را تشکیل میدهند و معمولاً برای عیبیابی برنامههای کاربردی وب، همراه با ارائه اطلاعاتی درباره نحوه تعامل کاربران با وبسایتها و برنامهها استفاده میشوند.
Brigid O Gorman، “استفاده از گزارشهای IIS توسط مهاجم یکی از جالبترین چیزها در مورد این کمپین است. تکنیک خواندن دستورات از گزارشهای IIS چیزی نیست که محققان سیمانتک تا به امروز شاهد استفاده از آن در حملات دنیای واقعی بودهاند.” تحلیلگر ارشد اطلاعاتی در تیم Symantec Threat Hunter به ZDNET گفت.
O Gorman توصیه میکند: «سازمانها باید یک استراتژی دفاعی عمیق را اتخاذ کنند و از فناوریهای متعدد شناسایی، حفاظت و سختسازی برای کاهش خطر در هر نقطه از زنجیره حمله احتمالی استفاده کنند.»
چیزی که این کمپین را منحصربهفرد میکند، روشی است که Geppei از گزارشهای خدمات اطلاعات اینترنتی (IIS) برای شناسایی نشدن سوء استفاده میکند، چیزی که محققان میگویند قبلاً در حملات مورد استفاده قرار نگرفتهاند.
