یک گروه جاسوسی اینترنتی با ارتباط مشکوک با دولتهای قزاقستان و لبنان موج جدیدی از حملات را علیه بسیاری از صنایع با نسخه بازتولید شده یک تروجان Backdoor سیزده ساله به راه انداخته است.
از جمله بخشهایی که عامل تهدید به آن اشاره کرده است شامل نهادهای دولتی، مالی، انرژی، صنایع غذایی، بهداشت، آموزش، فناوری اطلاعات و موسسات حقوقی مستقر در شیلی، قبرس، آلمان، اندونزی، ایتالیا، سنگاپور، سوئیس، ترکیه و ایالات متحده است.
تنوع غیرمعمول زیاد بازارها و مکانهای هدف این فرضیه قبلی را تقویت میکند که بدافزار توسط یک نهاد واحد استفاده نمیشود، بلکه بخشی از زیرساختهای تهاجمی است که توسط شخص ثالث به دولتها فروخته میشود و در سراسر جهان جهت تسهیل عملیات سایبری تهاجمی مورد استفاده قرار میگیرد.
استفاده همزمان از همان زیرساخت بدافزار توسط گروههای مختلف برای فعالیتهای به ظاهر نامرتبط باعث شد تا EFF و Lookout حدس بزنند که مهاجم APT از زیرساختهایی که میزبان تعدادی از کمپینهای گسترده جاسوسی اینترنتی جهانی است، استفاده میکند یا آنها را مدیریت می کند
زنجیره آلوده شدن یک فرآیند سه مرحلهای است که با فریب مایکروسافت ورد (به عنوان مثال "Certified documents.docx") در داخل یک فایل ZIP آغاز میشود که پس از باز شدن، ماکروهای مخرب را بارگیری میکند، و پس از آن مرحله دوم اجرا میشود، مرحله اسکریپت PowerShell که در داخل سند Word رمزگذاری شده است.
در آخرین مرحله حمله، این اسکریپت PowerShell برای بارگیری قطعات اجرایی رمزگذاری شده از سرویسهای ذخیره سازی ابری مانند Dropbox یا Bitbucket به منظور جمع آوری لودر Bandook استفاده میشود، که مسئولیت تزریق RAT را به یک پروسس جدید Internet Explorer بر عهده میگیرد.
اما طبق گفته محققان، نوع جدید Bandook نسخه کم حجم بدافزار است که فقط از 11 دستور پشتیبانی میکند، در حالی که نسخههای قبلی 120 دستور دارند، این نشان دهنده تمایل اپراتورها برای کاهش رد پا و فرار از شناسایی در برابر اهداف با اهمیت بالا است.
همچنین برای امضای این نسخه اصلاح شده بدافزار، از گواهینامههای معتبر صادر شده توسط Certum استفاده شده است.
از جمله بخشهایی که عامل تهدید به آن اشاره کرده است شامل نهادهای دولتی، مالی، انرژی، صنایع غذایی، بهداشت، آموزش، فناوری اطلاعات و موسسات حقوقی مستقر در شیلی، قبرس، آلمان، اندونزی، ایتالیا، سنگاپور، سوئیس، ترکیه و ایالات متحده است.
تنوع غیرمعمول زیاد بازارها و مکانهای هدف این فرضیه قبلی را تقویت میکند که بدافزار توسط یک نهاد واحد استفاده نمیشود، بلکه بخشی از زیرساختهای تهاجمی است که توسط شخص ثالث به دولتها فروخته میشود و در سراسر جهان جهت تسهیل عملیات سایبری تهاجمی مورد استفاده قرار میگیرد.
استفاده همزمان از همان زیرساخت بدافزار توسط گروههای مختلف برای فعالیتهای به ظاهر نامرتبط باعث شد تا EFF و Lookout حدس بزنند که مهاجم APT از زیرساختهایی که میزبان تعدادی از کمپینهای گسترده جاسوسی اینترنتی جهانی است، استفاده میکند یا آنها را مدیریت می کند
زنجیره آلوده شدن یک فرآیند سه مرحلهای است که با فریب مایکروسافت ورد (به عنوان مثال "Certified documents.docx") در داخل یک فایل ZIP آغاز میشود که پس از باز شدن، ماکروهای مخرب را بارگیری میکند، و پس از آن مرحله دوم اجرا میشود، مرحله اسکریپت PowerShell که در داخل سند Word رمزگذاری شده است.
در آخرین مرحله حمله، این اسکریپت PowerShell برای بارگیری قطعات اجرایی رمزگذاری شده از سرویسهای ذخیره سازی ابری مانند Dropbox یا Bitbucket به منظور جمع آوری لودر Bandook استفاده میشود، که مسئولیت تزریق RAT را به یک پروسس جدید Internet Explorer بر عهده میگیرد.
اما طبق گفته محققان، نوع جدید Bandook نسخه کم حجم بدافزار است که فقط از 11 دستور پشتیبانی میکند، در حالی که نسخههای قبلی 120 دستور دارند، این نشان دهنده تمایل اپراتورها برای کاهش رد پا و فرار از شناسایی در برابر اهداف با اهمیت بالا است.
همچنین برای امضای این نسخه اصلاح شده بدافزار، از گواهینامههای معتبر صادر شده توسط Certum استفاده شده است.
نظر