روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ معمولاً وقتی کاربری تلاش دارد داکیومنت اداری را که از وبسایت دانلود شده یا ایمیلش کردهاند بخواند، مایکروسافت آفیس آن را در حالت محافظتشده باز میکند. این کار با یکی از مکانیزمهای محافظت پیشفرض ویندوز به نام Mark-of-the-Web (به اختصار MOTW) انجام میشود. این مکانیزم، فایلهایی را که از اینترنت روی پیسی شما ظاهر میشوند نشانهگذاری میکند تا اپها منبعش را بدانند و بتوانند توجه کاربر را به خطر احتمالی جلب کنند. با این حال، تکیه کورکورانه به کارامدی چنین مکانیزم هشداری شاید ایده بدی باشد زیرا اخیراً مهاجمین شروع کردهاند به استفاده از متودی برای دور زدن MOTW. با ما همراه بمانید.
برای مثال وقتی متخصصین ما طی تحقیق جدیدشان روی ابزارهای BlueNoroff group (که گمان میرود بخشی از همان گروه منحوس لازاروس باشند) متوجه شدند ترفندهای جدید فریب سیستم عامل در حال به کار گفته شدن است!
چطور BlueNoroff مکانیزم MOTW را دور میزند؟
مکانیزم Mark-of-the-Web چنین عمل میکند:
به محض اینکه کاربری (یا برنامهای) فایل را از نت دانلود میکند، فایل سیستم NFTS ویژگی«از اینترنت» بدان اضافه میکند. اما این ویژگی همیشه هم اکتسابی نیست. وقتی آرشیوی را دانلود میکنید همه فایلهای داخل این ویژگی را ذاتی دریافت میکنند. با این حال آرشیو تنها راه انتقال غیرمستقیم فایل نیست. مهاجمین پس BlueNoroff شروع کردهاند به آزمایش استفاده از فایلهای نوع جدید برای ارسال داکیومنتهای آلوده. آنها گاهاً از فرمت .iso که بیشتر برای ذخیره تصاویر دیسکهای نوری استفاده میشوند بهره میبرند. گزینه دیگر فایل .vhd است که معمولاً حاوی هارد درایو مجازی است. به بیانی دیگر آنها پیلود واقعی حمله را–یک داکیومنت فریبنده و اسکریپت آلوده- داخل تصویر یا درایو مجازی پنهان میکنند.
BlueNoroff چه گروهیست و دنبال چیست؟
اوایل سال 2022 از کمپین SnatchCrypto که هدفش سرقت رمزارزها بود گفتیم. بر اساس یک سری نشانه، محققین ما باور دارند سرکردهی هر دو حملات همین گروه BlueNoroff بوده است. فعالیتی که این روزها شاهدش هستیم نیز هدفش پول است. در واقع مرحله آخر حمله دست نخوره و یکی است- مجرمان بکدر را روی کامپیوتر آلوده نصب میکنند. گروه BlueNoroff بسیاری دامنه که تقلید سرمایهگذاری خطرپذیر و شرکتهای سرمایهگذاری را میکنند (بانکهای بزرگ را یادمان نرود) ثبت کردهاند. با قضاوت از روی نام بانکها و نیز داکیومنتهای جعلی که مهاجمین استفاده میکنند اکنون میتوان ادعا کرد مهاجمین هدف اولیهشان ژاپنیزبانها هستند. با این وجود، دست کم یک قربانی هم در امارات پیدا شد. گفته میشود BlueNoroff بیشتر به کسب و کارهای مربوط به رمزارز و نیز شرکتهای مالی علاقه دارد.
راهکارهای امنیتی
ابتدا بگذارید این توهم را از بین ببریم که مکانیزمهای محافظتی پیشفرض داخل سیستم عامل برای امن نگه داشتن شرکت کفایت میکنند. مکانیزم Mark-of-the-Web نمیتواند جلوی کارمندی را بگیرد که از نت فایل دریافت کرده و دارد اسکریپت آلودهای را اجرا میکند! برای جلوگیری از قربانی شدن شرکتتان به دست BlueNororff یا هر گروه مشابه apt توصیه میکنیم:
- نصب راهکارهای امنیتی مدرن روی همه دستگاههای در حال کار- آنها نمیگذارند اسکریپتها از فایلهای آلوده اجرا شوند.
- آگاه کردن کارمندانتان از تهدیدهای سایبری مدرن- آموزش مناسب به آنها کمک میکند فریب مهاجمین را نخورند.
- استفاده از راهکارهای امنیتی کلاس EDR و در صورت لزوم به کار گرفتن خدمات شناسایی و واکنش به رخداد مدیریتشده. این راهکارها فعالیت مخرب را در شبکه سازمانی به موقع شناسایی کرده و کمک میکنند حمله قبل از اینکه خسارتی وارد کند در نطفه خفه شود.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
