شركت‌های صنعتی هدف نرم‌افزار جاسوسی Anomalous

محققان تاکنون چندین کمپین جاسوس‌افزار را کشف کرده‌اند که با سرقت اکانت‌های ایمیل برای کلاهبرداری مالی و یا فروش مجدد آنها به سایر کاربران، شرکت‌های صنعتی را هدف قرار می‌دهند.

به گزارش مرکز مدیریت راهبردی افتا، این کمپین‌ها از ابزار‌های جاسوس‌افزار رده عام (off-the-shelf) استفاده می‌کنند، اما به‌منظور فرار از شناسایی هر یک از این موارد را برای مدت‌زمان بسیار محدودی استفاده می‌کنند. 
نمونه‌هایی از بدافزارهایی که در این قبیل حملات مورداستفاده قرار می‌گیرند عبارت‌اند از:

 AgentTesla/Origin Logger، HawkEye، Noon/Formbook، Masslogger، Snake Keylogger، Azorult و Lokibot.


Kaspersky این دست از حملات را به دلیل ماهیت بسیار کوتاه آنها در مقایسه با موارد معمول در این زمینه “غیرعادی” می‌نامد. 
به بیان دقیق‌تر، حداکثر طول عمر این حملات تقریباً به ۲۵ روز محدود می‌شود، درحالی‌که اکثر کمپین‌های جاسوس افزار چندین ماه یا حتی سال‌ها طول می‌کشند.
تعداد سیستم‌های مورد حمله توسط این کمپین‌ها همیشه زیر صد است که نیمی از آن‌ها ماشین‌های ICS (سیستم‌های کامپیوتری یکپارچه) هستند که در محیط‌های صنعتی مستقر شده‌اند.
عنصر غیرعادی دیگر نیز استفاده از پروتکل ارتباطی مبتنی بر SMTP برای استخراج داده‌ها به سرور C۲ تحت کنترل کاربر است. برخلاف پروتکل HTTPS که در اکثر کمپین‌های جاسوس‌افزار برای ارتباطات C۲ استفاده می‌شود، پروتکل SMTP یک کانال یک‌طرفه است که فقط به سرقت داده‌ها واکنش نشان می‌دهد. 
SMTP انتخاب رایجی برای عوامل تهدید نیست، چراکه قابلیت واکشی فایل‌های باینری یا سایر فایل‌های غیر متنی را ندارد، اما باتوجه ‌به ساختار ساده و توانایی در ترکیب با ترافیک شبکه معمولی، شرایط پیشرفت خود را مهیا می‌سازد. 

سرقت حساب‌های کاربری به‌منظور نفوذ بیشتر
عوامل این کمپین‌ها از حساب‌های کاربری سرقت شده کارمندان که از طریق spear-phishing به دست آورده‌اند، استفاده می‌کنند تا بتوانند نفوذ عمیق‌تری داشته باشند و به‌صورت جانبی در شبکه شرکت حرکت کنند. 
علاوه بر این، آنها از صندوق‌های پستی شرکت‌هایی که در حملات قبلی به خطر افتاده‌اند، به‌عنوان سرور C۲ برای حملات جدید استفاده می‌کنند که این موضوع تشخیص و نشانه‌گذاری مکاتبات داخلی مخرب را بسیار چالش‌برانگیز می‌کند.
Kaspersky در همین زمینه گزارش می‌دهد: “این موضوع بسیار عجیب است که فناوری‌های ضد هرزنامه شرکت‌ها به مهاجمان کمک می‌کند در حین استخراج مدارک سرقت شده از دستگاه‌های آلوده، در میان ایمیل‌های موجود در پوشه‌های هرزنامه، خود را پنهان سازند.” 
تحلیلگران ۲۰۰۰ حساب ایمیل شرکتی را شناسایی کردند که به عنوان سرور‌های موقت C۲ مورد سوءاستفاده قرار گرفته و همچنین ۷۰۰۰ حساب ایمیل دیگر را شناسایی کردند که به روش‌های دیگر مورد استفاده قرار گرفته بودند. 

فروش در بازارهای دارک وب
بسیاری از ایمیل‌های RDP، SMTP، SSH، cPanel و حساب‌های کاربری VPN به سرقت رفته توسط این کمپین‌ها در بازارهای دارک‌وب معرفی و ارائه می‌شوند و در نهایت به سایر عوامل تهدید فروخته می‌شوند.
بر اساس تجزیه‌وتحلیل‌های آماری صورت‌گرفته از سوی Kaspersky، حدود ۳,۹ درصد از کل حساب‌های کاربری RDP فروخته شده در بازارهای غیرقانونی مذکور متعلق به شرکت‌های صنعتی است.
حساب‌های RDP(پروتکل کنترل دسکتاپ از راه دور) برای مجرمان سایبری باارزش هستند، زیرا آنها را قادر می‌سازد از راه دور به ماشین‌های در معرض خطر دسترسی داشته باشند و مستقیماً با آن دستگاه تعامل کنند.
به طور معمول، این‌گونه فهرست‌ها موردعلاقه عوامل باج‌افزار خواهد بود، چرا که می‌توانند از دسترسی به RDP برای استقرار بدافزار ویرانگر خود استفاده کنند.

منبع:

https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/1920/Staging/%D8%B4%D8%B1%D9%83%D8%AA%E2%80%8C%D9%87%D8%A7%DB%8C-%D8%B5%D9%86%D8%B9%D8%AA%DB%8C-%D9%87%D8%AF%D9%81-%D9%86%D8%B1%D9%85%E2%80%8C%D8%A7%D9%81%D8%B2%D8%A7%D8%B1-%D8%AC%D8%A7%D8%B3%D9%88%D8%B3%DB%8C-Anomalous

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.