روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ معمولاً وقتی کاربری تلاش دارد داکیومنت اداری را که از وبسایت دانلود شده یا ایمیلش کرده‌اند بخواند، مایکروسافت آفیس آن را در حالت محافظت‌شده باز می‌کند. این کار با یکی از مکانیزم‌های محافظت پیش‌فرض ویندوز به نام Mark-of-the-Web (به اختصار MOTW) انجام می‌شود. این مکانیزم، فایل‌هایی را که از اینترنت روی پی‌سی شما ظاهر می‌شوند نشانه‌گذاری می‌کند تا اپ‌ها منبعش را بدانند و بتوانند توجه کاربر را به خطر احتمالی جلب کنند. با این حال، تکیه کورکورانه به کارامدی چنین مکانیزم هشداری شاید ایده بدی باشد زیرا اخیراً مهاجمین شروع کرده‌اند به استفاده از متودی برای دور زدن MOTW. با ما همراه بمانید.

برای مثال وقتی متخصصین ما طی تحقیق جدیدشان روی ابزارهای  BlueNoroff group (که گمان می‌رود بخشی از همان گروه منحوس لازاروس باشند) متوجه شدند ترفندهای جدید فریب سیستم‌ عامل در حال به کار گفته شدن است!

چطور BlueNoroff مکانیزم MOTW را دور می‌زند؟

مکانیزم Mark-of-the-Web چنین عمل می‌کند:

به محض اینکه کاربری (یا برنامه‌ای) فایل را از نت دانلود می‌کند، فایل سیستم NFTS ویژگی‌«از اینترنت» بدان اضافه می‌کند. اما این ویژگی همیشه هم اکتسابی نیست. وقتی آرشیوی را دانلود می‌کنید همه فایل‌های داخل این ویژگی را ذاتی دریافت می‌کنند. با این حال آرشیو تنها راه انتقال غیرمستقیم فایل نیست. مهاجمین پس  BlueNoroff شروع کرده‌اند به آزمایش استفاده از فایل‌های نوع جدید برای ارسال داکیومنت‌های آلوده. آن‌ها گاهاً از فرمت .iso که بیشتر برای ذخیره تصاویر دیسک‌های نوری استفاده می‌شوند بهره می‌برند. گزینه دیگر فایل  .vhd است که معمولاً حاوی هارد درایو مجازی است. به بیانی دیگر آن‌ها پی‌لود واقعی حمله را–یک داکیومنت فریبنده و اسکریپت آلوده- داخل تصویر یا درایو مجازی پنهان می‌کنند.

BlueNoroff چه گروهیست و دنبال چیست؟

اوایل سال 2022 از کمپین SnatchCrypto که هدفش سرقت رمزارزها بود گفتیم. بر اساس یک سری نشانه، محققین ما باور دارند سرکرده‌ی هر دو حملات همین گروه  BlueNoroff بوده است. فعالیتی که این روزها شاهدش هستیم نیز هدفش پول است. در واقع مرحله آخر حمله دست نخوره و یکی است- مجرمان بک‌در را روی کامپیوتر آلوده نصب می‌کنند. گروه BlueNoroff بسیاری دامنه که تقلید سرمایه‌گذاری خطرپذیر و شرکت‌های سرمایه‌گذاری را می‌کنند (بانک‌های بزرگ را یادمان نرود) ثبت کرده‌اند. با قضاوت از روی نام بانک‌ها و نیز داکیومنت‌های جعلی که مهاجمین استفاده می‌کنند اکنون می‌توان ادعا کرد مهاجمین هدف اولیه‌شان ژاپنی‌زبان‌ها هستند. با این وجود، دست کم یک قربانی هم در امارات پیدا شد. گفته می‌شود  BlueNoroff بیشتر به کسب و کارهای مربوط به رمزارز و نیز شرکت‌های مالی علاقه دارد.

  راهکارهای امنیتی

ابتدا بگذارید این توهم را از بین ببریم که مکانیزم‌های محافظتی پیش‌فرض داخل سیستم عامل برای امن نگه داشتن شرکت کفایت می‌کنند. مکانیزم Mark-of-the-Web نمی‌تواند جلوی کارمندی را بگیرد که از نت فایل دریافت کرده و دارد اسکریپت آلوده‌ای را اجرا می‌کند! برای جلوگیری از قربانی شدن شرکت‌تان به دست  BlueNororff یا هر گروه مشابه apt توصیه می‌کنیم:

•         نصب راهکارهای امنیتی مدرن روی همه دستگاه‌های در حال کار- آن‌ها نمی‌گذارند اسکریپت‌ها از فایل‌های آلوده اجرا شوند.
•         آگاه کردن کارمندانتان از تهدیدهای سایبری مدرن- آموزش مناسب به آن‌ها کمک می‌کند فریب مهاجمین را نخورند.
•         استفاده از راهکارهای امنیتی کلاس EDR و در صورت لزوم به کار گرفتن خدمات شناسایی و واکنش به رخداد مدیریت‌شده. این راهکارها فعالیت مخرب را در شبکه سازمانی به موقع شناسایی کرده و کمک می‌کنند حمله قبل از اینکه خسارتی وارد کند در نطفه خفه شود.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.