دولت پاکستان هدف حمله‌ی پویش‌های جاسوسی سایبری

۳مقامات دولت پاکستان از سوی یک منبع ناشناس هدف حمله‌ی پویش‌های جاسوسی سایبری قرار گرفتند که تروجان دسترسی راه دور۱ (RAT) را به امید دسترسی به سامانه‌های هدف و سرقت اطلاعات حساس و محرمانه توزیع می‌کنند.

این مهاجمان مقامات پاکستان در شعبه‌های مختلف را هدف قرار داده و از حملات فیشینگ نیزه‌ای با جعل هویت سایر مقامات دولتی استفاده می‌کنند.
مهاجمان از پرونده‌های DOC و XLS استفاده می‌کنند که بهره‌برداری با شناسه‌ی CVE-۲۰۱۲-۰۱۵۸ در آن‌ها تعبیه شده و به‌طور خودکار یک RAT را از کارگزار برخط بارگیری و نصب می‌کند.

گروه BITTER یک RAT ویژه را توسعه داده است
شرکت امنیتی Forcepoint این حمله را کشف کرد که با توجه به تکه متنی که در درخواست‌های HTTP آن برای سرقت اطلاعات مشاهده شد، آن را BITTER نامید.
با توجه به نمونه‌ی بدافزاری و طرز عملکرد آن، Forcepoint می‌گوید حمله‌ی BITTER از نوامبر سال ۲۰۱۳ شروع شده و در عرض این چند سال تحت کنترل بوده است.

گروه مرموز پشت این بدافزار از RAT ویژه‌ای برای آلوده کردن سامانه‌ی قربانی استفاده می‌کنند. براساس یک تحلیل بر روی کد منبع این RAT، شرکت Forcepoint قابلیت‌های آن را فهرست کرده است.
این شرکت می‌گوید این RAT می‌تواند اطلاعات عمومی سامانه‌ی آلوده‌شده را جمع‌آوری کند، یک شِل دستورات راه دور را باز کند، فرآیندها با ارتباط فعال UDP را فهرست کند، فرآیندهای در حال اجرا را تغییر دهد، پرونده‌های محلی را تغییر دهد و پرونده‌هایی را از راه دور بارگیری و اجرا کند.

RAT پرونده‌های حساس را هدف قرار داده است
با این وجود، عملکرد اصلی این RAT جستجو در فهرستی از نوع پرونده‌های مختلف از جمله DOC ،PPT ،XLS ،DOCX ،PPTX ،XLSX ،PDF ،ZIP ،۷Z ،TXT و RTF است.
هدف قرار دادن این نوع از پسوندهای پرونده یادآور پویش‌های جاسوسی سیاسی و اقتصادی است. نفوذ به حساب‌های مقامات پاکستانی توسط گروه BITTER آخرین دلیلی است که هدف این پویش را تایید می‌کند.

محققان همین‌جا متوقف نشدند. محققان Forcepoint کشف کردند که یکی از دامنه‌هایی که این RAT اطلاعات سرقت‌شده را برای ذخیره‌سازی ارسال می‌کند، با آدرس رایانامه‌ای ثبت شده است که قبلاً برای ثبت دامنه‌های کارگزار C&C پویش RAT دیگری استفاده شده است.
محققان قطعی نمی‌توانند بگویند این RAT چه کسی را هدف قرار داده است اما می‌گویند این RAT با نام AndroRAT در داخل برنامه‌ای به نام Kashmir News که اخباری در خصوص منطقه‌ی مورد مناقشه بین هند و پاکستان را ارائه می‌کند و همچنین برنامه‌ی Islam Adhan Alarm که اوقات شرعی و مذاهب رسمی پاکستان را ارائه می‌کند، بسته‌بندی شده است.

این پویش آخر RAT اندروید نشان می‌دهد که گروه BITTER بیش از یک RAT در زرادخانه خود دارند که ممکن است حملات جدیدی در آینده کشف شود.
Forcepoint می‌گوید شواهد کافی در دست نیست تا این حملات به پویش‌های RAT قبلی یا گروه‌های تحت حمایت دولتی خاص نسبت داده شود.

۱. Remote Access Trojans

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter