گروه نفوذ ِ چینی «دراگون‌اوکی» عملیات خود را گسترش می‌دهد

یک گروه نفوذ چینی با نام «دراگون‌اوکی۱» مجموعه ابزارهای خود را به‌روزرسانی کرده است. اسناد منتشرشده از حملات این گروه نشان می‌دهد که عملیات آن‌ها در روسیه و تبت گسترش یافته است.

اولین فعالیت این گروه در شهریور ماه سال ۹۳ توسط شرکت امنیتی فایرآی منتشر شد. در آن زمان، فایرآی گزارش داد که این گروه تهدید، سازمان‌های با فناوری بالا و شرکت‌های تولیدکننده در ژاپن و تایوان را هدف قرار داده و بیشتر اهداف آن جاسوسی اقتصادی است.

در ژاپن دراگون‌اوکی تهدید بزرگی شناسایی شد. روز پنج‍شنبه شرکت امنیتی پالوآلتو گزارش داد که این تهدید سازمان‌های صنعتی سطح بالا، مراکز آموزشی، شرکت‌های تولیدکننده و بخش‌های انرژی و نیمه‌هادی را هدف قرار داده است.

یکی از بدافزارهایی که توسط این گروه مورد استفاده قرار می‌گیرد Sysget است و کشور تایوان را هدف قرار داده است. این شرکت امنیتی سه نسخه‌ی متفاوت از این بدافزار را شناسایی کرده که در هریک از نسخه‌ها قابلیت‌های جدید و مهمی برای جلوگیری از تشخیص و تحلیل اضافه شده است.

بدافزار Sysget بیشتر از طریق رایانامه‌های فیشینگ و اسناد مخرب آفیس توزیع می‌شود. در این اسناد مخرب از آسیب‌پذیری معروف مایکروسافت آفیس با شناسه‌ی CVE-۲۰۱۵-۱۶۴۱ بهره‌برداری می‌شود. این آسیب‌پذیری توسط گروه‌های نفوذ در شرق آسیا مورد بهره‌برداری قرار می‌گیرد.

این گروه نفوذ در حملات علیه تایوان از بدافزار دیگری با نام IsSpace استفاده کرده‌اند. محققان معتقدند این بدافزار توسعه‌یافته‌ی بدافزار Nflog است که توسط گروه دراگون‌اوکی و یک گروه نفوذِ چینی دیگر مورد استفاده قرار گرفته است. قبلاً مشاهده شده بود که بدافزار IsSpace در حملات واترهُلینگ علیه یک شرکت هوافضایی مورد استفاده قرار گرفته بود. در نمونه‌هایی از این بدافزار که اخیراً مورد بررسی قرار گرفته، به‌روزرسانی‌هایی در آن انجام شده است.

شبکه‎ی پالوآلتو در گزارش خود اعلام کرد در عملیات گروه دراگون‌اوکی بدافزار دیگری با نام TidePool مشاهده شده است. محققان معتقدند این تروجان اوایل امسال توسط یک گروه نفوذ چینی در حمله به سفارت‌خانه‌های هندوستان استفاده شده بود. گروه دراگون‌اوکی در حال حاضر با استفاده از این بدافزار اشخاصی در روسیه و تبت را هدف قرار داده است. اسنادی موسوم به GOST و به زبان روسی که توسط مهاجمان مورد استفاده قرار گرفته، یک رمزنگاری بلوکی است که در سال ۱۹۷۰ توسط دولت روسیه توسعه داده شده است.

۱. DragonOK

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.