نفوذگران چینی شما را به کنفرانس امنیتی دعوت می‌کنند

۳یک گروه جاسوسی سایبری چینی که با نام‌های Lotus Blossom و Elise and Esile شناخته می‌شود، قربانیان را به دروغ به کنفرانس امنیتی Palo Alto Networks که به زودی برگزار خواهد شد، دعوت می‌کند. هدف این مهاجمان تحریک کاربر برای نصب بخشی از بدافزارشان است.

گروه تهدید Lotus Blossom که به نظر می‌رسد توسط نهادهای دولتی پشتیبانی می‌شود، حداقل از سال ۲۰۱۲ وجود داشته است هرچند که برخی محققان شواهدی پیدا کرده‌اند که این تهدید از سال ۲۰۰۷ ظاهر شده است.
شرکت امنیتی Palo Alto Networks در سال ۲۰۱۵ گزارشی دقیق از جزئیات فعالیت این گروه ارائه کرد. این شرکت امنیتی، حمله علیه سازمان‌های دولتی و نظامی در جنوب شرقی آسیا از جمله ویتنام، فیلیپین، تایوان، هنگ‌کنگ و اندونزی را بررسی کرده است.

گروه Lotus Blossom به تازگی دعوت به کنفرانس امنیتی Palo Alto Networks را شروع کرده است در حالی‌که دعوت‌نامه‌ی این گروه جعلی است و کنفرانس اصلی در ۳ نوامبر در جاکارتای اندونزی برگزار خواهد شد. هدف این گروه از این دعوت، تحویل نسخه‌ی جدیدی از تروجان Emissary است.

به گفته‌ی محققان، مهاجمان از روش حمله‌ی فیشینگ نیزه‌ای استفاده می‌کنند و در قالب رایانامه، پرونده‌ی Word با نام [FREE INVITATIONS] CyberSecurity Summit.doc ارسال می‌شود. در این سند، تصویری از دعوت‌نامه‌ی دوره‌ی گذشته وجود داشته و مهاجم از این طریق در تلاش است تا از آسیب‌پذیری قدیمی مایکروسافت آفیس با شناسه‌ی CVE-۲۰۱۲-۰۱۵۸ بهره‌برداری کند.

به دنبال این حملات، Palo Alto Networks تصمیم گرفت تا ارسال دعوت‌نامه‌ی رایانامه‌ای را متوقف کند و از کاربران در اندونزی خواست تا اگر چنین رایانامه‌ای دریافت کردند به آن توجهی نکنند.
محققان متوجه شدند که این سند Word حاوی تصویری از دعوت‌نامه‌های قبلی این شرکت است که بخشی از اطلاعات قدیمی این تصویر بریده شده است. محققان تلاش کردند تا این تصویر را به حالت قبل از بریده شدن بازگردانند و از این طریق بتوانند اطلاعاتی در خصوص سامانه‌ای که این تصویر جعلی و ساختگی را ایجاد کرده، بدست آورند.

اطلاعات بدست آمده از اسکرین‌شات و بررسی‌های انجام‌شده بر روی مهر زمانی نشان داد که به احتمال زیاد مهاجمان در چین واقع شده‌اند.

محققان توضیح دادند: «مهاجمان از سامانه عامل ویندوز مربوط به کاربران چینی استفاده می‌کنند و زبان سامانه نیز چینی است. آیکون «CH» بر روی ویندوز نشان می‌دهد که ویرایشگر روش ورودی (IME) در ویندوز برای کاربر چینی تنظیم شده است. همچنین در این اسکرین‌شات یک برنامه‌ی معروف چینی با نام Sogou Pinyin قابل مشاهده است که با استفاده از این برنامه می‌توان نویسه‌های چینی را نوشت. بر روی صفحه‌کلیدهای استاندارد لاتین برای اینکه بتوان چینی نوشت، برنامه‌ی Pinyin لازم و ضروری است و این نشان می‌دهد که مهاجمان چینی بوده‌اند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter