بدافزار چینی، شبکه‌های دولتی تایوان را هدف قرار داده است

۱یک پویش بدافزاری، کاربران شبکه‌های دولتی تایوان را هدف قرار داده است. در این پویش مهاجمان تلاش دارند نسخه‌ی دربِ پشتی IXESHE را بر روی دستگاه قربانی نصب کنند.

شرکت امنیتی Zscaler این پویش را CNACOM نام‌گذاری کرده و گفته می‌شود این پویش به گروه APT۱۲ مربوط می‌شود. این گروه از نفوذگران تحت حمایت دولت چین هستند و معمولاً برای حمله از حملات فیشینگ استفاده می‌کنند.

در ۱۷ آبان ماه گروه تحقیقات Zscaler تزریق کد مخرب بر روی صفحه‌ی ثبت‌نام یک سرویس وب‌ بسیار مهم تایوانی را مورد بررسی قرار دادند. محققان در یک گزارش تحلیلی توضیح دادند: «مهاجمان در بخش پانوشت صفحه یک iframe تزریق کرده‌اند که باعث می‌شود یک صفحه بارگیری شود. این صفحه حاوی کد بهره‌برداری از آسیب‌پذیری CVE-۲۰۱۶-۰۱۸۹ است.»

وقتی کاربر وب‌گاه آلوده را بازدید می‌کند، به صفحه‌ی مهاجم حاوی کد مخرب هدایت می‌شود. در این صفحه کد اثرانگشت‌گیری نیز وجود داشته و مشخص می‌کند که IP قربانی جزو آدرس‌های شبکه‌ی مورد نظر است یا خیر. در این بررسی آدرس IP بازدیدکننده با آدرس‌های IP در ۹ سازمان مهم تایوان مقایسه می‌شود و اگر تشخیص داده شد که کاربر از دولت تایوان است و از نسخه‌ی مرورگر اینترنت اکسپلورر استفاده می‌کند، بهره‌برداری شروع خواهد شد.

کاربران آسیب‌پذیر به بدافزار IXESHE آلوده خواهند شد. این بدافزار اطلاعات سامانه‌ی قربانی از جمله نام کاربری ویندوز، نام میزبان، آدرس IP محلی و نسخه‌ی ویندوز را جمع‌آوری کرده و در ادامه یک درب ِ پشتی پایدار را ایجاد می‌کند.
محققان Zscaler گفتند: «IXESHE خانواده‌ای از بدافزارهای دربِ پشتی است که توسط گروه‌های مهاجم زیادی مورد استفاده قرار می‌گیرد. برخلاف نمونه‌های قبلی IXESHE، به نظر می‌رسد نسخه‌ی جدید از کدهای پویش که در این بدافزار تعبیه شده است، استفاده نمی‌کند. این مسئله ممکن است به دلیل سامانه‌ی ردیابی مرکزی باشد که به شناسه‌ی ماشینی که توسط بدافزار گزارش می‌شود، متکی است.»

نسخه‌ی جدید بدافزار از روش ارتباطی مشابه نسخه‌های قبل استفاده می‌کند و به آن قابلیت SSL نیز اضافه شده است. به نظر می‌رسد کارگزار این بدافزار از گواهی‌نامه‌های خود-امضاء کوتاه‌‌مدت استفاده کرده و در بخش‌های اطلاعاتی این گواهی‌نامه از رشته‌های تصادفی استفاده شده است.

در خصوص انتساب این حملات Zscaler گفت: «این پویش مشابه پویش بهره‌برداری است که در مرداد ماه سال ۹۴ از آسیب‌پذیری CVE-۲۰۱۵-۵۱۲۲ بهره‌برداری می‌کرد هرچند صفحه‌ی وب مهاجم در پویش جدید، دولت تایوان را هدف قرار داده است. خواه ناخواه گروه مهاجم پشت این پویش، گروه نفوذ چینی به نام APT۱۲ است. هدف قرار دادن دولت تایوان و نمونه‌های قبلی استفاده از بدافزار IXESHE نیز این شک را بیشتر می‌کند که گروه نفوذ چینی APT۱۲ عامل این حملات باشد.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.