MontysThree: جاسوسی سایبریِ صنعتی

19 مهر 1399 MontysThree: جاسوسی سایبریِ صنعتی

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ متخصصین ما به رد و اثری از فعالیت یک گروه جدید جنایت سایبری پی بردند که کارش جاسوسیِ شرکت‌های صنعتی است. مهاجمین مذکور با استفاده از ابزاری که محققین ما آن را  MontysThree صدا می‌زنند در حال اجرایی کردن حملاتی هدف‌دار هستند. این ابزار کارش جستجوی داکیومنت‌های روی کامپیوترهای قربانیان است. گفته می‌شود این گروه دست‌کم از سال 2018 فعال بوده است. در ادامه با ما همراه شوید تا ضمن ارائه‌ی راهکار امنیتی، توضیح دهیم MontysThree چطور کامپیوترها را آلوده می‌سازد و مهاجمین با این حمله در حقیقت چه می‌خواهند.

MontysThree چطور کامپیوترها را آلوده می‌سازد؟

مجرمان سایبری برای نفوذ به کامپیوتر قربانیان از ترفندهای کلاسیک اسپیر فیشینگ[1] استفاده می‌کنند؛ همان ارسال ایمیل‌هایی حاوی فایل‌های قابل‌اجرا -که به نظر شبیه به داکیومنت‌هایی با فرمت .pdf یا .doc هستند- به کارمندان شرکت‌های صنعتی. چنین فایل‌هایی معمولاً «آپدیت داده‌های سازمانی»، «مشخصات فنی»، «فهرست شماره تلفن‌های کارمندان 2019» و غیره نامیده می‌شوند. در برخی از موارد، مهاجمین سعی دارند کاری کنند تا این فایل‌ها شبیه به داکیومنت‌های پزشکی باشند؛ آن‌ها اسم‌هایی مانند «نتایج تحلیل‌های پزشکی» یا «Invitro-106650152-1.pdf» (اینویترو یکی از بزرگترین لابراتوارهای پزشکی در روسیه است) دارند.

مهاجمین چه می‌خواهند؟

MontysThree طعمه‌اش یک سری داکیومنت‌های خاص در فرمت‌های Microsoft Office و Adobe Acrobat است که در دایرکتوری‌های مختلف و روی رسانه‌های اینترنتی وجود دارند. این بدافزار بعد از تزریق آلودگی، پروفایل کامپیوتر قربانی را تحویل داده، نسخه‌ی سیستم را ارسال کرده، فهرستی از فرآیندها را سیاهه نموده و اسنپ‌شات‌های دسکتاپی را به سرور C&C خود را ارسال می‌کند؛ همچنین فهرست‌هایی را از داکیومنت‌های به تازگی بازشده با افزونه‌های .doc, .docx, .xls, .xlsx, .rtf , .pdf, .odt, .psw و .pwd در دایرکتوری‌های USERPROFILE و APPDATA تهیه می‌کند.

دیگر توانایی‌های بدافزار MontysThree

نویسندگان چندین مکانیزم نسبتاً غیرمعمول را در این بدافزار پیاده‌سازی کردند. به عنوان مثال، ماژول دانلودکننده بعد از آلودگی، ماژول اصلی را –که با استفاده از استگانوگرافی[2] در یک تصویر رمزنگاری می‌شود - استخراج و کدگشایی می‌کند. متخصصین ما معتقدند مهاجمین از همان ابتدا الگوریتم استگانوگرافی را نوشتند و صرفاً آن را از نمونه‌های منبع‌باز کپی نکرده‌اند (چون در بیشتر موارد می‌بینیم که مهاجمین این کار را می‌کنند).

این بدافزار با استفاده از سرویس‌های کلود عمومی چون گوگل، مایکروسافت و دراپ‌باکس همینطور WebDAV با سرور C&C ارتباط برقرار می‌کند. افزون بر این، ماژول ارتباطی می‌تواند از طریق RDP و Citrix درخواست بگذارد. علاوه بر اینها، سازندگان این بدافزار هیچ پروتکل ارتباطی‌ای در کد خود جاگذاری نکردند؛ در عوض MontyThree از برنامه‌های قانونی (RDP, Citrix clients, Internet Explorer) استفاده می‌کند.

به منظور نگه داشتنِ هرچه بیشترِ بدافزار در سیستم قربانی، یک ماژول کمکی میانبرها را روی پنل Windows Quick Launch دستکاری می‌کند تا وقتی کاربر میانبری را اجرا می‌کند (بعنوان مثال میانبری به یک مرورگر) ماژول لودر MontyThree در آن واحد اجرا می‌شود.

این مهاجمین چه کسانی هستند؟

متخصصین ما بین سازندگان MontysThree  با حملات گذشته هیچ پیوند معناداری نمی‌بینند. اینطور که از شواهد امر پیداست، مهاجمین در واقع گروه جنایت سایبریِ کاملاً جدیدی هستند و می‌شود از تکه متن‌های داخل کد چنین قضاوت کرد که زبان بومی نویسندگان این بدافزار، روسی است. به طور مشابهی، تارگت‌های اصلی، بیشتر شرکت‌های روسی‌زبان بودند؛ برخی از دایرکتوری‌هایی که این بدافزار میانشان به جستجو می‌پردازد تنها در نسخه‌ی Cyrillic سیستم وجود دارند. اگرچه متخصصین ما همچنین جزئیات اکانتی مخصوص خدمات ارتباطی پیدا کردند که خواستگاه چینی را یادآور می‌شود اما آن‌ها گمان دارند اینها تنها ترفندهایی برای ردگم‌کنی است؛ بدین‌ترتیب ردپای مهاجمین به نحوی مبهم‌سازی[3] می‌شود.

چه باید کرد؟

برای شروع، به کارمندان خود باری دیگر تذکر دهید که حملات هدف‌دار اغلب اوقات با یک ایمیل شروع می‌شوند؛ پس آن‌ها موقع باز کردن فایل‌ها -خصوصاً آن‌هایی که انتظار رسیدنشان را نداشته‌اند- باید حسابی حواس خود را جمع کنند. برای حصول اطمینان بیشتر باید بدان‌ها توضیح داده شود که چرا باید همیشه حواس‌جمع باشند: برایشان فقط از خطرات چنین رفتاری نگویید؛ همچنین سعی کنید طوری آموزششان دهید که بتوانند با استفاده از Kaspersky Automated Security Awareness Platform با تهدیدهای سایبری مدرن مقابله کنند. افزون بر این، برای مصون ماندن از گزند حملات هدف‌دار پیچیده از راهکارهای امنیتی یکپارچه‌ای استفاده کنید که حفاظت ایستگاه کار، قابلیت‌های EDR و ابزارهای اضافی برای تحلیل و شکست حملات را با هم ادغام می‌کنند.

 

[1] spear-phishing

[2]پنهان‌نگاری

[3] obfuscate



منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    9,761,900 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    3,251,900 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    6,508,450 ریال13,016,900 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    4,879,400 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    4,879,400 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    6,506,900 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    11,718,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد