روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ متخصصین ما به رد و اثری از فعالیت یک گروه جدید جنایت سایبری پی بردند که کارش جاسوسیِ شرکت‌های صنعتی است. مهاجمین مذکور با استفاده از ابزاری که محققین ما آن را  MontysThree صدا می‌زنند در حال اجرایی کردن حملاتی هدف‌دار هستند. این ابزار کارش جستجوی داکیومنت‌های روی کامپیوترهای قربانیان است. گفته می‌شود این گروه دست‌کم از سال 2018 فعال بوده است. در ادامه با ما همراه شوید تا ضمن ارائه‌ی راهکار امنیتی، توضیح دهیم MontysThree چطور کامپیوترها را آلوده می‌سازد و مهاجمین با این حمله در حقیقت چه می‌خواهند.

MontysThree چطور کامپیوترها را آلوده می‌سازد؟

مجرمان سایبری برای نفوذ به کامپیوتر قربانیان از ترفندهای کلاسیک اسپیر فیشینگ[1] استفاده می‌کنند؛ همان ارسال ایمیل‌هایی حاوی فایل‌های قابل‌اجرا -که به نظر شبیه به داکیومنت‌هایی با فرمت .pdf یا .doc هستند- به کارمندان شرکت‌های صنعتی. چنین فایل‌هایی معمولاً «آپدیت داده‌های سازمانی»، «مشخصات فنی»، «فهرست شماره تلفن‌های کارمندان 2019» و غیره نامیده می‌شوند. در برخی از موارد، مهاجمین سعی دارند کاری کنند تا این فایل‌ها شبیه به داکیومنت‌های پزشکی باشند؛ آن‌ها اسم‌هایی مانند «نتایج تحلیل‌های پزشکی» یا «Invitro-106650152-1.pdf» (اینویترو یکی از بزرگترین لابراتوارهای پزشکی در روسیه است) دارند.

مهاجمین چه می‌خواهند؟

MontysThree طعمه‌اش یک سری داکیومنت‌های خاص در فرمت‌های Microsoft Office و Adobe Acrobat است که در دایرکتوری‌های مختلف و روی رسانه‌های اینترنتی وجود دارند. این بدافزار بعد از تزریق آلودگی، پروفایل کامپیوتر قربانی را تحویل داده، نسخه‌ی سیستم را ارسال کرده، فهرستی از فرآیندها را سیاهه نموده و اسنپ‌شات‌های دسکتاپی را به سرور C&C خود را ارسال می‌کند؛ همچنین فهرست‌هایی را از داکیومنت‌های به تازگی بازشده با افزونه‌های .doc, .docx, .xls, .xlsx, .rtf , .pdf, .odt, .psw و .pwd در دایرکتوری‌های USERPROFILE و APPDATA تهیه می‌کند.

دیگر توانایی‌های بدافزار MontysThree

نویسندگان چندین مکانیزم نسبتاً غیرمعمول را در این بدافزار پیاده‌سازی کردند. به عنوان مثال، ماژول دانلودکننده بعد از آلودگی، ماژول اصلی را –که با استفاده از استگانوگرافی[2] در یک تصویر رمزنگاری می‌شود - استخراج و کدگشایی می‌کند. متخصصین ما معتقدند مهاجمین از همان ابتدا الگوریتم استگانوگرافی را نوشتند و صرفاً آن را از نمونه‌های منبع‌باز کپی نکرده‌اند (چون در بیشتر موارد می‌بینیم که مهاجمین این کار را می‌کنند).

این بدافزار با استفاده از سرویس‌های کلود عمومی چون گوگل، مایکروسافت و دراپ‌باکس همینطور WebDAV با سرور C&C ارتباط برقرار می‌کند. افزون بر این، ماژول ارتباطی می‌تواند از طریق RDP و Citrix درخواست بگذارد. علاوه بر اینها، سازندگان این بدافزار هیچ پروتکل ارتباطی‌ای در کد خود جاگذاری نکردند؛ در عوض MontyThree از برنامه‌های قانونی (RDP, Citrix clients, Internet Explorer) استفاده می‌کند.

به منظور نگه داشتنِ هرچه بیشترِ بدافزار در سیستم قربانی، یک ماژول کمکی میانبرها را روی پنل Windows Quick Launch دستکاری می‌کند تا وقتی کاربر میانبری را اجرا می‌کند (بعنوان مثال میانبری به یک مرورگر) ماژول لودر MontyThree در آن واحد اجرا می‌شود.

این مهاجمین چه کسانی هستند؟

متخصصین ما بین سازندگان MontysThree  با حملات گذشته هیچ پیوند معناداری نمی‌بینند. اینطور که از شواهد امر پیداست، مهاجمین در واقع گروه جنایت سایبریِ کاملاً جدیدی هستند و می‌شود از تکه متن‌های داخل کد چنین قضاوت کرد که زبان بومی نویسندگان این بدافزار، روسی است. به طور مشابهی، تارگت‌های اصلی، بیشتر شرکت‌های روسی‌زبان بودند؛ برخی از دایرکتوری‌هایی که این بدافزار میانشان به جستجو می‌پردازد تنها در نسخه‌ی Cyrillic سیستم وجود دارند. اگرچه متخصصین ما همچنین جزئیات اکانتی مخصوص خدمات ارتباطی پیدا کردند که خواستگاه چینی را یادآور می‌شود اما آن‌ها گمان دارند اینها تنها ترفندهایی برای ردگم‌کنی است؛ بدین‌ترتیب ردپای مهاجمین به نحوی مبهم‌سازی[3] می‌شود.

چه باید کرد؟

برای شروع، به کارمندان خود باری دیگر تذکر دهید که حملات هدف‌دار اغلب اوقات با یک ایمیل شروع می‌شوند؛ پس آن‌ها موقع باز کردن فایل‌ها -خصوصاً آن‌هایی که انتظار رسیدنشان را نداشته‌اند- باید حسابی حواس خود را جمع کنند. برای حصول اطمینان بیشتر باید بدان‌ها توضیح داده شود که چرا باید همیشه حواس‌جمع باشند: برایشان فقط از خطرات چنین رفتاری نگویید؛ همچنین سعی کنید طوری آموزششان دهید که بتوانند با استفاده از Kaspersky Automated Security Awareness Platform با تهدیدهای سایبری مدرن مقابله کنند. افزون بر این، برای مصون ماندن از گزند حملات هدف‌دار پیچیده از راهکارهای امنیتی یکپارچه‌ای استفاده کنید که حفاظت ایستگاه کار، قابلیت‌های EDR و ابزارهای اضافی برای تحلیل و شکست حملات را با هم ادغام می‌کنند.

[1] spear-phishing

[2]پنهان‌نگاری

[3] obfuscate

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.