مهارت بدافزار جدید RAT TROCHILUS در جاسوسی و مقاومت در برابر کشف شدن

محققان یک تروجان جدید دسترسی از راه دور یا همان RAT را کشف کرده‌اند که می‌تواند از تحلیل سندباکس فرار کند، این بدافزار در انجام جاسوسی ماهر بوده و برای عملیات‌های تهدید هدف مورد استفاده قرار می‌گیرد.
این بدافزار با نام Trochilus بخشی از یک عملیات چندجانبه‌ی بدافزاری بود که پژوهش‌گران Arbor Networks آن‌ را خنجر هفت‌لبه یا Seven Pointed Dagger می‌نامند. علاوه بر این، این دسته شامل نرم‌افزارهای مخربی چون PlugX، the ۹۰۰۲ ۳۱۰۲ variant(RAT) و EvilGrab می‌شود و جزء مجموعه ابزار اولیه‌ی گروهی از مهاجمان است که از سوی پژوهش‌گران Cisco’s Talos Group به نام گروه ۲۷ خوانده می‌شوند.
پژوهش‌گران تیم امنیت و پاسخ‌گویی، نمونه‌های اولیه‌ی این گروه، به نام PlugX را در تابستان گذشته کشف کردند، اما در ماه اکتبر تصادفاً بدافزارهایی جدید را که شامل Trochilus نیز می‌شدند، کشف کردند. همچون بدافزار تابستان گذشته، آخرین بدافزار این گروه در وب‌گاهی مرتبط با انتخابات سال ۲۰۱۵ در کشور میانمار در جنوب شرقی آسیا یافت شد.
بر طبق گزارشی که روز دوشنبه منتشر شده است این بدافزار رد زیادی از خود بر جای نمی‌گذارد، و برای فرار از کشف شدن مهارت دارد.
در این گزارش آمده است:‌ «به نظر می‌رسد که تنها در حافظه اجرا می‌شود و هیچ ردی از خود در دیسک باقی نمی‌گذارد، به جز در قالب پرونده‌های کدگذاری شده که به خودی خود اجرا نمی‌شود و در برابر فرآیند تشخیص و تحلیل بدافزارهای مخرب ایستا مقاوم است.»
جزییات پرونده توضیحی در مورد RAT نشان می‌دهد که قابلیت‌های این بدافزار کامل است، و شامل عمل‌کردهایی نظیر بسط shellcode، حذف از راه دور، یک مدیریت پرونده، بارگیری و اجرا و بارگذاری و اجرا می‌شود. مسئولان Arbor Networks می‌گویند که این بدافزار به سمت اهداف خود به صورت جانبی حرکت می‌کند تا دسترسی راه‌بردی بیشتری پیدا کند.
این حملات وب‌گاه اتحادیه‌ی کمیسیون انتخابات میانمار را گرفتار کرده و تا حد زیادی از انتخابات عمومی این کشور در ماه نوامبر نشأت می‌گیرد، که اولین انتخاباتی بعد از سال ۲۰۱۱ است که در آن یک دولت مردمی به قدرت می‌رسد.
در حالی‌که در میانمار دو ماه است که از انتخابات گذشته است، این کشور هنوز هم در یک دوره‌ی گذار سیاسی قرار دارد، و بخشی از دلیل آن این است که مدیران مؤسسه‌ی Arbor Networks به افراد هشدار می‌دهند که هنگامی که یک رایانامه‌ی مشکوک به دست آن‌ها می‌رسد مراقب باز کردن آن باشند. محققان هشدار داده‌اند که Trochilus و دیگر گونه‌های این نرم‌افزار مخرب اساساً در خوشه‌ی بدافزارهایی قرار دارند که از طریق پیوست‌های پرونده‌‌هایی همچون .RAR گسترش می‌یابند و هر نوع سازمان سیاسی به ویژه آن دسته که به برنامه‌ی توسعه‌ی سازمان ملل در میانمار مربوط هستند می‌توانند مورد هدف آن قرار گیرند.
سال گذشته نیز چندین دسته از این نوع بدافزارها، اهداف مشابهی را مورد هدف قرار داده بودند. PlugX پرونده‌های فشرده‌‌ی مخرب را در حملات فیشینگ خود به سازمان‌های غیردولتی زیست‌محیطی که در جنوب شرقی آسیا فعالیت می‌کردند، ارسال کرده است. کارشناسان معتقدند که هر دو حمله ویژگی‌های مشترکی را ارائه می‌کردند، هر دو مورد این حملات هدف خود را بر گروه‌های پراکنده‌ی تبتی متمرکز کرده بودند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.