این کمپین هک مخفیانه از ترفند جدیدی برای ارائه بدافزار خود استفاده می کند


عکس نزدیک از-هکر-دست-تایپ کردن-روی-صفحه کلید-زیر نور بنفش

تصویر: گتی/اریکونا

مهاجمان سایبری بسیار ماهر از تکنیکی استفاده می کنند که قبلاً دیده نشده بود تا با سوء استفاده از ابزارهای قانونی، قربانیان را مخفیانه با بدافزار آلوده کنند.

کمپین بوده است جزئیات توسط محققان امنیت سایبری در Symantec، که می گویند مهاجمان می توانند بیش از 18 ماه را در شبکه های قربانیان سپری کنند و همه اینها در حالی است که اقداماتی را انجام می دهند تا اطمینان حاصل شود که فعالیت آنها زیر رادار باقی می ماند تا از شناسایی در آنچه تصور می شود یک عملیات جمع آوری اطلاعات و جاسوسی است جلوگیری شود.

نحوه شروع حمله هنوز نامشخص است، اما قربانیان به یک بدافزار که قبلاً مستند نشده بود به نام Geppei آلوده می‌شوند که برای ارائه شکل دیگری از بدافزار در پشتی به نام Danfuan استفاده می‌شود که دسترسی مخفیانه به ماشین‌های در معرض خطر را همراه با توانایی فراهم می‌کند. برای ردیابی داده های ذخیره شده یا وارد شده در سیستم ها.

مهاجمان سعی می‌کنند با نصب درب‌های پشتی روی وسایلی که از ابزارهای امنیتی پشتیبانی نمی‌کنند، مانند آرایه‌های SANS، متعادل‌کننده‌های بار و کنترل‌کننده‌های نقطه دسترسی بی‌سیم، زیر رادار بمانند.

همچنین: آینده ترسناک اینترنت: چگونه فناوری فردا تهدیدات امنیتی سایبری بزرگتری را ایجاد خواهد کرد

چیزی که این کمپین را منحصربه‌فرد می‌کند، روشی است که Geppei از گزارش‌های خدمات اطلاعات اینترنتی (IIS) برای شناسایی نشدن سوء استفاده می‌کند، چیزی که محققان می‌گویند قبلاً در حملات مورد استفاده قرار نگرفته‌اند.

گزارش‌های IIS بخشی از خدمات سرور ویندوز را تشکیل می‌دهند و معمولاً برای عیب‌یابی برنامه‌های کاربردی وب، همراه با ارائه اطلاعاتی درباره نحوه تعامل کاربران با وب‌سایت‌ها و برنامه‌ها استفاده می‌شوند.

Geppei دستورات را از یک گزارش قانونی IIS می‌خواند، که برای ضبط داده‌های IIS، مانند صفحات وب و برنامه‌ها است. در این سناریو، مهاجمان می توانند با پنهان کردن آنها به عنوان درخواست های دسترسی وب، دستورات را به یک وب سرور در معرض خطر ارسال کنند و در حالی که IIS آنها را به صورت عادی ثبت می کند، تروجان می تواند آنها را به عنوان دستور بخواند. دستورات خوانده شده توسط Geppei حاوی فایل‌های رمزگذاری شده مخربی هستند که در یک پوشه دلخواه ذخیره می‌شوند و به عنوان درهای پشتی اجرا می‌شوند.

Brigid O Gorman، “استفاده از گزارش‌های IIS توسط مهاجم یکی از جالب‌ترین چیزها در مورد این کمپین است. تکنیک خواندن دستورات از گزارش‌های IIS چیزی نیست که محققان سیمانتک تا به امروز شاهد استفاده از آن در حملات دنیای واقعی بوده‌اند.” تحلیلگر ارشد اطلاعاتی در تیم Symantec Threat Hunter به ZDNET گفت.

این حملات به گروهی مرتبط هستند که سیمانتک آن را کرنفلای می نامد – همچنین به عنوان UNC3524 شناخته می شود. محققان پیشنهاد می‌کنند که روش‌های بدیع و بسیار پنهانی مورد استفاده در این کمپین نشان می‌دهد که این کار یک «بازیگر تهدید نسبتاً ماهر» است که با جمع‌آوری اطلاعات انگیزه دارد.

“توسعه بدافزارهای سفارشی و ابزارهای جدید نیاز به سطح خاصی از مهارت ها و منابع دارد که همه عوامل تهدید از آن برخوردار نیستند، بنابراین به این معنی است که کسانی که پشت کرانفلای هستند سطح خاصی از مهارت ها را دارند که آنها را قادر می سازد حملات سایبری مخفیانه و خلاقانه انجام دهند.” گفت ای گورمن.

سیمانتک این حملات را به مهاجم خاصی مرتبط نکرده است. اما محققان در Mandiant قبلاً خاطرنشان کردند که روش‌های مورد استفاده در کمپین‌های Cranefly/UNC3524 “با تکنیک‌های مورد استفاده توسط چندین بازیگر تهدید جاسوسی مستقر در روسیه همپوشانی دارند”.

این کمپین گسترده نیست، اما این بدان معنا نیست که خطری برای سازمان‌ها ایجاد نمی‌کند – به خصوص که کمپین همچنان فعال است و کسانی که پشت آن هستند تکنیک‌های جدیدی را برای پنهان کردن حملات به کار می‌گیرند. با این حال، اقداماتی برای کمک به جلوگیری از این حمله و سایر کمپین‌های سایبری مخرب وجود دارد.

O Gorman توصیه می‌کند: «سازمان‌ها باید یک استراتژی دفاعی عمیق را اتخاذ کنند و از فناوری‌های متعدد شناسایی، حفاظت و سخت‌سازی برای کاهش خطر در هر نقطه از زنجیره حمله احتمالی استفاده کنند.»

تکنیک‌هایی که سازمان‌ها می‌توانند برای کمک به جلوگیری یا شناسایی حملات استفاده کنند شامل استفاده از احراز هویت دو مرحله‌ای در حساب‌ها، اتخاذ تقسیم‌بندی شبکه و اجتناب از استفاده از رمزهای عبور پیش‌فرض است.

اطلاعات بیشتر در مورد امنیت سایبری


منبع: https://www.zdnet.com/article/this-stealthy-hacking-campaign-uses-a-new-trick-to-deliver-its-malware/#ftag=RSSbaffb68