استفاده‌ی یک گروه نفوذگر از یک بدافزار جدید برای حمله به سازمان‌های روسی

یک گروه نفوذگر از یک بدافزار جدید برای حمله به سازمان‌های روسی استفاده کرده است.
شبکه‌ی Palo Alto گزارش داده است که یک گروه نفوذگر که به خاطر حمله به سازمان‌های روسی مشهور هستند شروع به استفاده از یک ابزار جدید در عملیات جاسوسی خود کرده‌اند.
در کنفرانس امنیت ZeroNight در سال ۲۰۱۴ محقق امنیتی شرکت ESET، Anton Cherepanov جزییات تهاجم ‌ Roaming Tiger را افشا کرد، که عبارت است از سلسله حملاتی که سازمان‌های سطح بالای روسی و جمهوری‌های سابق شوروی را هدف قرار گرفته است. این کشورها شامل کشورهای بلاروس، قزاقستان، قرقیزستان، تاجیکستان، اوکراین و ازبکستان می‌شوند.
این گروه نفوذگر از نقص RTF و PLUX RAT برای سرقت اطلاعات و جاسوسی از اهداف خود استفاده می‌کنند. در حالی‌که چرپانوف نگفت چه کسی در پشت این حملات است، اما کارگزار مرکز کنترل و فرمان و دامنه‌ای که برای حملات علیه سازمان‌ها از آن استفاده شده است به چین ارتباط دارند.
در آگوست سال ۲۰۱۵ محققان شبکه‌ی پالو آلتو گزارش حمله‌ای را دادند که بسیار شبیه به حملاتی بود که توسط گروه Roaming Tiger انجام می‌شود. این حملات تا ماه دسامبر مشاهده شد و هدف آن‌ها سازمان‌های روسیه و کشورهای روس زبان بودند اما به جای استفاده ازPlugX این گروه نفوذگر از ابزار جدیدی استفاده کرده بودند که به وسیله‌ی BBSRAT توسعه یافته بود. این بدافزار جدید از ساز و کار آلوده‌سازی استفاده می‌کرد که شبیه به PlugX عمل می‌کند، اما از معماری و رفتار متفاوتی بهره می‌برد.
در حمله‌ای که به وسیله شبکه‌ی پالو آلتو کشف شده است، مهاجمان رایانامه‌ای را که شامل یک پرونده‌ی مایکروسافت ورد است ارسال می‌کنند تا از یک آسیب‌پذیری قدیمی نرم‌افزار مایکروسافت آفیس CVE-۲۰۱۲-۰۱۵۸ برای ارسال نرم‌افزار مخرب BBSRAT استفاده کنند. این نوع حمله به نوع حملاتی که سال گذشته به وسیله‌ی شرکت ESET مشاهده شد نیز شبیه بوده است.
رایانامه‌ای که به وسیله‌ی پالو آلتو تحلیل شده است به سازمان ویگستار ارسال شده است، که یک سازمان تحقیقاتی روسی است و در زمینه‌ی دستگاه‌های بی‌سیم خاص و و توسعه‌ی سامانه‌های ارتباطات ماهواره‌ای که به وسیله‌ی سازمان‌های دفاع و امنیت روسیه استفاده می‌شوند، تخصص دارد.
جالب توجه است که کارشناسان اعلام کرده‌اند که BBSRAT از دامنه‌ی همان مرکز کنترل و فرمان‌دهی استفاده می‌کند که در عملیات Roaming Tiger توسط شرکت ESET شرح داده شده است. اگر چه در حملات اخیر به نظر می‌رسد که مهاجمان از گونه‌های متفاوت بدافزارها و زیرساخت‌های جداگانه‌ای برای هر کدام از قربانیان استفاده کرده‌اند.
BBSRAT از طریق بارگیری‌‌ها و بارگذاری‌ها روی رجیستری سامانه پیاده می‌شود. هنگامی که روی سامانه نصب می‌شود، این بدافزار به جمع‌آوری داده‌ها روی دستگاه‌های آلوده می‌پردازد و آن‌ها را به یک کارگزار راه دور از طریق یک درخواست POST می‌فرستد.
آن‌گاه مهاجمان می‌توانند دستورات مختلفی را برای حذف و توقف این بدافزار، اجرای کد شل، اجرا و یا توقف سرویس‌ها، دست‌کاری فرایندهای اجرایی سامانه، اجرای فرمان‌ها، خواندن و نوشتن و پاک کردن پرونده‌ها، دستیابی به اطلاعات، ایجاد پوشه‌ها و اجرای یک شل اجرا کنند.
محققان شبکه‌ی پالو آلتو در بلاگ پستی خود شرح داده‌اند: «هم‌چون بسیاری دیگر از مقالات قبلی در مورد کمپین‌های که با انگیزه‌ی جاسوسی و مبارزات دولت- ملت بنا شده‌اند، چیزی که در این حمله مشاهده می‌شود یک عملیات ادامه‌دار و رو به تکامل از سوی مخالفان است که حتی پس از این‌که این فن‌‌ها و روش‌های مقابله با آن‌ها به اطلاع عموم رسیده است، باز هم ادامه می‌یابند. با وجود این حقیقت که اطلاعات در مورد این مهاجمان و بسیاری از کارگزارهای کنترل و فرماندهی آن‌ها بیش از یک سال است که به اطلاع همه رسیده است، اما هنوز به استفاده از بسیاری از این راه‌کارها در حملات خود ادامه می‌دهند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap