گروه جاسوسی سایبری، تهدیدی برای شرکت‌های مالی

04 شهریور 1399 گروه جاسوسی سایبری، تهدیدی برای شرکت‌های مالی

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ متخصصین ما گروه جاسوسی سایبری را شناسایی کرده‌اند که متخصص سرقت اسرار تجاریست. این گروه –که تا اینجای کار تنها بواسطه‌ی تارگت‌هایش مورد قضاوت قرار گرفته- عمدتاً علاقه دارد به شرکت‌های فین‌تک (یا فناوری مالی)، شرکت‌های حقوقی و مشاورین مالی حمله کند؛ هرچند دست‌کم در یک مورد همچنین به یک نهاد دیپلماتیک نیز حمله شده است. چنین انتخاب تارگتی ممکن است حاکی از این باشد که گروه مذکور با اسم رمز DeathStalker یا به دنبال اطلاعات خاصی برای فروش است یا سرویس «حمله به محض تقاضا[1]» را ارائه می‌دهد. به بیانی دیگر، این گروه، گروهی مزدور است. DeathStalker از سال 2018 (شاید هم زودتر) فعال است (اصلاً احتمال این وجود دارد که از سال 2012 فعال بوده باشد). استفاده از ایمپلنت Powersing آن همان چیزیست که ابتدا توجه متخصصین ما را به خود جلب کرد. در عملیات‌های جدیدتر این گروه نیز متودهای مشابهی به کار گرفته می‌شود.

حمله

اول اینکه، مجرمان با استفاده از فیشینگ هدف‌دار[2] به شبکه قربانی نفوذ می‌کنند و بعد فایل LNK آلوده‌ای را در پوشش یک داکیومنت به کارمند سازمان می‌فرستند. فایل، میانبریست که مفسر خط فرمان سیستم –یعنی cmd.exe- را لانچ نموده و از آن برای اجرای اسکریپت مخرب استفاده می‌کند. به قربانی داکیومنتی بی‌معنی در قالب‌های PDF، DOC یا DOCX نشان داده می‌شود که این توهم را ایجاد می‌کند که انگار فایل طبیعی‌ای را باز کردند. جالب اینجاست که این کد مخرب حاوی آدرس سرور C&C نیست. در عوض، این برنامه به پستی دسترسی دارد که روی یک پلت‌فرم عمومی نشر داده شده است؛ جایی که رشته کاراکترهایی که در نگاه اول بی‌معنی جلوه می‌کردند خوانده می‌شود. در واقع، این اطلاعات رمزگذاری‌شده‌ایست طراحی‌شده برای فعال کردن مرحله بعدی حمله. این نوع تاکتیک به dead drop resolver معروف است.

مهاجمین در طول مرحله‌ی بعدی، کنترل کامپیوتر را به دست گرفته، میانبر آلوده‌ای را در فولدر اتوران قرار داده (تا اجرا روی سیستم ادامه پیدا کند) و با سرور C&C واقعی کانکشن ایجاد می‌کند. در اصل ایمپلنت Powersing دو کار انجام می‌دهد: به صورت دوره‌ای روی دستگاه قربانی اسکرین‌شات می‌گیرد، آن‌ها را به سرور C&C می‌فرستد و همچنین اسکریپت‌های اضافی Powershell را –دانلودشده از سرور C&C- اجرا می‌کند. به بیانی دیگر، هدفش دسترسی پیدا کردن به دستگاه قربانی برای اجرای ابزارهای اضافی است.

روش‌های فریب مکانیزم‌های امنیتی

این بدافزار در تمامی مراحل از متودهای مختلفی برای دور زدن فناوری‌های امنیتی استفاده می‌کند و انتخاب متودش نیز به هدف مورد نظرش بستگی دارد. علاوه بر اینها، اگر این بدافزار راهکار آنتی‌ویروسی روی دستگاه تارگت شناسایی کند می‌تواند تاکتیک‌های خود را عوض کرده یا حتی خود را غیرفعال کند. متخصصین ما معتقدند مجرمان سایبری هدفشان را بررسی می‌کنند و اسکریپت‌هایشان را به طور خاص برای هر حمله تنظیم می‌نمایند. اما جالب‌ترین تکنیک DeathStalker استفاده از سرویس‌های عمومی به عنوان مکانیزم dead-drop-resolver است. در اصل، این سرویس‌ها اجازه می‌دهند تا اطلاعات رمزگذاری‌شده در آدرسی ثابت ذخیره شوند (در قالب پست‌ها، فرمان‌ها، پروفایل‌های کاربری و توضیح‌های محتوایی که به طور عمومی قابل‌دسترسی‌اند). این پست‌ها می‌توانند ظاهری چنین داشته باشند که در زیر مشاهده می‌کنید:

 

 

به طور کلی، این تنها یک ترفند است: مهاجمین به همین طریق سعی می‌کنند آغاز ارتباط با سرور C&C را پنهان نموده و کاری کنند تا از سوی مکانیزم‌های محافظتی اینطور نتیجه‌گیری شود که فردی دارد به وبسایت‌های عمومی دسترسی پیدا می‌کند. متخصصین ما مواردی را شناسایی کردند که در آن‌ها مهاجمین از Google+، Imgur، Reddit، ShockChan، Tumblr، Twitter، YouTube و WordPress برای این منظور استفاده کرده بودند. تازه موارد ذکر شده در فوق فهرست کاملی را از وبسایت‌های استفاده‌شده توسط این مهاجمین تشکیل نمی‌دهد. با این حال، شرکت‌ها بعید است دسترسی به همه‌ی این سرویس‌ها را مسدود کند.

محافظت از شرکت در مقابل DeathStalker

شرح متودها و ابزارهای این گروه تصویر روشنی نشان می‌دهد از اینکه حتی کوچکترین شرکت در چنین دنیای مدرنی می‌تواند با چه تهدیدهایی روبرو شود. البته که این گروه بعید است عامل APT باشد و از هیچ ترفند پیچیده خاصی نیز استفاده نمی‌کند. با این حال استفاده از ابزارهایش در ادامه، دور زدن بسیاری از راهکارهای امنیتی را در پی خواهد داشت. متخصصین ما اقدامات محافظتی زیر را پیشنهاد می‌کنند:

  • توجه ویژه به فرآیندهایی که مفسرین زبان اسکریپت آن‌ها را لانچ می‌کنند (شامل powershell.exe و cscript.exe.). اگر برای انجام امور تجاری خود بدان‌ها نیاز ندارید توصیه می‌کنیم آن‌ها را غیرفعال کنید.
  • حواستان به حملاتی باشد که فایل‌های LNK انجام می‌دهند (با توزیع میان پیام‌های ایمیل).
  • از فناوری‌های محافظتی پیشرفته شامل راهکارهای کلاس EDR استفاده کنید.

به طور خاص، ما راهکاری یکپارچه به مهمات جنگی خود اضافه کرده‌ایم که می‌تواند کل کارکردهای EPP و EDR تحت پوشش خود قرار دهد.

 

[1] attack on demand

[2] spear phishing

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    9,447,000 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    3,147,000 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    12,597,000 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    4,722,000 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    4,722,000 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    6,297,000 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    11,340,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد