روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ متخصصین ما بک‌در جدیدی را کشف کرده‌اند که مجرمان سایبری از قبل از آن برای حملات هدف‌دار خود استفاده می‌کرده‌اند. این بک‌در که نامش Tomiris است از جهات بسیاری به  Sunshuttle (یا همان GoldMax) شباهت دارد؛ بدافزاری که DarkHalo (یا همان Nobelium) آن را در حمله زنجیره تأمین علیه مشتریان SolarWinds استفاده کرد. با ما همراه بمانید تا این بک‌در را مورد بررسی قرار دهیم.

قابلیت‌های Tomiris

تسک اولیه بک‌در  Tomiris ارسال بدافزار اضافی است به دستگاه قربانی. این بک‌در ارتباط پیوسته‌ای با سرور C&C مجرمان سایبری دارند و کارش دانلود فایل‌های قابل اجراست. از آنجا به بعد این بک‌در شروع می‌کند به اجرای آرگومان‌های مشخص. متخصصین ما همچنین یک متغیر سارق فایل نیز پیدا کرده‌اند. بدافزار اخیراً انتخاب‌شده فایل‌ها را با افزونه‌های مشخصی ساخت (doc,docx, pdf , rar و غیره) و آن‌ها را در سرور C&C آپلود کرد. سازندگان این بک‌در آن را به قابلیت‌های مختلفی آذین کرده‌اند تا فناوری‌های امنیتی فریب بخورند و بررسان نیز منحرف شوند. برای مثال در بخش تحویل، این بدافزار تا 9 دقیقه هیچ کاری نمی‌کند: تأخیری برای فریب دادن هر مکانیزم شناسایی مبتنی بر سندباکس. افزون بر این آدرس سرور C&C مستقیم داخل تومیریس –یوآرال و اطلاعات پورت از سرور سیگنال‌دهنده می‌آیند- کدگذاری نمی‌شود.

چطور Tomiris روی دستگاه‌ها می‌نشیند؟

مجرمان سایبری به منظور ارسال این بک‌در، از سرقت DNS برای ریدایرکت کردن ترافیک از میل سرورهای سازمان‌های هدف به سایت‌های آلوده‌ی خود استفاده می‌کنند (شاید با بدست آوردن اطلاعات محرمانه برای کنترل پنل روی سایت ثبت‌نام دامنه). بدین‌ترتیب آن‌ها می‌توانند مشتریان را به پیجی هدایت کنند که شبیه به پیج لاگین سرویس میل سرور واقعی است. به طور طیعی وقتی فردی اطلاعات را روی صفحه جعلی وارد می‌کند، مهاجمین فوراً آن اطلاعات را به چنگ می‌آورند. البته که برخی‌اوقات سایت‌ها از کاربران درخواست می‌کنند آپدیت امنیتی را برای پیشبرد پروسه نصب کنند. در این مورد این آپدیت دانلودری بود برای Tomiris.

راهکار امنیتی

این متود تحویل بدافزار که در فوق شرحش دادیم در صورتیکه کامپیوتری که به رابط میل وبی دسترسی دارد توسط راهکار امنیتی قوی محافظت شده باشد عمل نخواهد کرد. افزون بر این هر فعالیت از جانب اپراتورهای APT در شبکه سازمانی را می‌توان با کمک Kaspersky Managed Detection and Response شناسایی نمود.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.