روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ سال گذشته، آژانس یوروپل[1] و وزارت دادگستری ایالات متحده آمریکا[2] عدهای مجرم سایبری را -مظنون به سرکردگی گروههایی به نام FIN7 و Carbanak- دستگیر کردند. رسانههای خبری از فروپاشی این گنگ سایبری خبر دادهاند اما متخصصین ما هنوز هم در حال شناسایی علایمی از فعالیت آنها هستند. علاوه بر این، تعداد گروههای به هم پیوسته که از کیتهای ابزاری و نیز زیرساختهایی مشابه استفاده میکنند رو به افزایش است. در ادامه با ماه همراه شوید تا فهرستی از ابزار اصلی و ترفندهای عمده آنها را خدمتتان ارائه داده و البته راههایی نیز برای جلوگیری معرفی کنیم.
FIN7 تخصصش در حملههای سازمانی است؛ از این طریق میتواند به اطلاعات مالی و یا زیرساخت [3]PoS دسترسی پیدا کند. کار این گروه از طریق کمپینهای فیشینگ و البته مهندسی اجتماعی پیچیده جلو میرود. برای مثال قبل از ارسال داکیومنتهای آلوده، ممکن است این گروه برای رد گمکنی کلی پیام نرمال رد و بدل کند. در بسیاری از موارد، این حملات از داکیومنتهای مخرب برای نصب بدافزار روی کامپیوتر قربانی استفاده کردهاند. همچنین برای مداوم بودنِ آن نیز ترتیب برنامههای جدولبندیشدهای را داده؛ بعد ماژول دریافت کرده و آنها را در مموری سیستم جاگذاری نمودند. به طور خاص، شاهد ماژولهایی بودهایم که کارشان جمعآوری اطلاعات، دانلود بدافزار اضافی، گرفتن اسکرینشات و ذخیره نمونهی دیگری از همان بدافزار داخل رجیستری بود (که اگر اولی شناسایی شد راه فراری باشد). مجرمان سایبری به طور کلی ممکن است هر زمانی ماژولهای اضافی بسازند.
گروه CobaltGoblin/Carbanak/EmpireMonkey
سایر مجرمان سایبری نیز از تکنیکها و ابزارهای مشابهی (که فقط شاید در بخش هدف کمی با هم فرق کنند) استفاده میکنند- در اینجا منظورمان بانکها و توسعهدهندگان نرمافزارهای بانکداری و پردازش پول است.
استراتژی اصلیِ Carbanak (یا همان CobaltGoblin یا EmpireMonkey) دسترسی به شبکههای قربانی و بعد پیدا کردن اندپوینتهایی است که بتوان یکجورهایی از آنها پول درآورد.
باتنت AveMaria
AveMaria باتنت جدیدی است که برای سرقت اطلاعات مورد استفاده قرار میگیرد. این باتنت به محض آلوده شدن دستگاه شروع میکند به جمعآوری تمام اطلاعات ممکن (از نرمافزارهای مختلف): مرورگرها، کلاینتهای ایمیل، مسنجرها و غیره. تازه نقش کی لاگر را هم ایفا میکند.
مجرمان سایبری برای تحویل پیلود از فیشینگ، مهندسی اجتماعی و پیوستهای مخرب استفاده میکنند. متخصصین ما شکشان بر کانکشنهای آنها با Fin7 رفته است، زیرا هم زیرساخت C&C (فرمان و کنترل) و هم متودهایشان مثل هم است. شاخص دیگر ارتباط آنها توزیع تارگت است: 30 درصد از تارگتها روی شرکتهای کوچک و متوسط بود؛ آنهایی که تأمینکننده و یا ارائهدهندهی خدمات برای سازمانهای بزرگترند و 21 درصد آنها انواع مختلفی از شرکتهای تولیدیاند.
CopyPaste
متخصصین ما به مجموعهای از فعالیتها با نام رمزی CopyPaste پی بردند که مؤسسات و شرکتهای مالی یک کشور آفریقایی را مورد هدف قرار داده بود. عاملین دخیل در این اقدامات از ابزارها و روشهای متعددی برای بکارگیری Fin7 استفاده کردند. با این حال، این امکان نیز وجود دارد که مجرمین سایبری مذکور تنها از نشریات منبع باز استفاده کرده باشند و شاید هیچ ارتباطی نیز با FIN7 در میان نباشد.
چطور ایمن بمانیم
- از راهحلهای امنیتی با کارکردهایی خاص (شناسایی و مسدود کردن اقدامات فیشینگ) استفاده کنید. سازمانها میتوانند با کاربردهای هدفدار داخل بستهی اندپویت سکیوریتیِ سازمانی کسپرسکی[4] از سیستمهای ایمیل سازمانی خود محافظت کنند.
- مهارتهای اجرایی دریافت کنید و خود را در محیط آموزشیِ امنیت قرار دهید. برنامههایی چون Kaspersky Automated Security Awareness Platform به شما کمک میکند تا مهارتهای خود را پروزش داده و خود را در معرض حملات فیشینگ را به طور شبیهسازیشدهای قرار دهید تا واکنشدهی به آنها برایتان سادهتر شود.
- همهی گروههایی که نامشان در این مقاله ذکر شد تا حد زیادی از سیستمهای وصلهنشده (در محیطهای سازمانی) تغذیه میکنند. برای محدود کردن تواناییشان از استراتژی قویِ پچینگ مانند بستهی اندپویت سکیوریتیِ سازمانی کسپرسکی استفاده کنید که میتواند به طوراتوماتیک نرمافزار مربوطه را وصله کند.
[1] Europol
[2] US Department of Justice
[3]پایانه فروش
[4] Kaspersky Endpoint Security for Business
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.