روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ متخصصین ما فعالیت Andariel را که گمان می‌رود زیرگروهِ Lazarus APT  باشد بررسی کرده است. مجرمان سایبری از بدافزار DTrack و باج‌افزار  Maui برای حمله به کسب و کارها در سراسر جهان استفاده می‌کنند. طبق رسم همیشگی لازاروس، هدف این حملات نیز سرقت مالی است اما این بار از طریق اخاذی. با ما همراه بمانید.

اهداف حملات  Andariel

متخصصین ما این نتیجه را گرفتند که گروه Andariel به جای اینکه تمرکز خود را روی صنعت خاصی بگذارد آماده است تا به هر شرکتی حمله کند. در ماه ژوئن، آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) گزارش داد باج‌افزار Maui عمدتاً شرکت‌ها و سازمان‌های دولتی را در بخش سلامتِ آمریکا هدف قرار می‌دهد اما تیم ما همچنین دست کم یک حمله را به شرکتی خانگی در ژاپن نیز شناسایی کرده است؛ همینطور چندین قربانی در هند، ویتنام و روسیه نیز دیده شده است.

ابزارهای Andariel

ابزار اصلی گروه Andariel بدافزاری است قدیمی به نام DTrack که کارش جمع‌آوری اطلاعات در مورد قربانی و ارسال آن به میزبان ریموت است. از میان کلی موارد دیگر، DTrack تاریخچه مرورگر را جمع و آن را در فایلی جداگانه ذخیره می‌کند. این سویه‌ی اتخاذشده در حملات Andariel نه تنها می‌تواند اطلاعات جمع‌شده را به سرور مجرمان سایبری بفرستند (از طریق HTTP) که همچنین می‌تواند آن را روی میزبان ریموت در شبکه قربانی نیز ذخیره کند. وقتی مهاجمین داده‌های قابل‌توجه را پیدا می‌کنند آنجاست که باج‌افزار Maui پا به میدان می‌گذارد. Maui به طور کلی 10 ساعت بعد از فعالسازی بدافزار DTrack روی میزبان‌های مورد حمله شناسایی می‌شود. همکاران ما در Staiwell نمونه‌های آن را بررسی کردند و به این نتیجه رسیدند که این باج‌افزار به طور دستی توسط عاملین کنترل می‌شود؛ عاملینی که مشخص می‌کنند کدام داده باید رمزگذاری گردد. ابزار دیگری که ظاهراً مهاجمین از آن استفاده می‌کنند 3Proxy است؛ سرور قانونی، رایگان و چندپلت‌فرمه پروکسی که به دلیل سایز فشرده‌اش مورد علاقه مهاجمین قرار گرفته است (تنها چند صد کیلوبایت). این نوع ابزار را می‌شود برای حفظ دسترسی ریموت به کامپیوتر دستکاری‌شده استفاده کرد.

چطور  Andariel بدافزارهای خود را توزیع می‌کند؟

مجرمان سایبری نسخه‌های پچ‌نشده‌ی سرویس‌های آنلاین عمومی را اکسپلویت می‌کنند. در این سناریو، بدافزار از HFS (فایل سرور HTTP) دانلود شد: مهاجمین از اکسپلویت ناشناخته‌ای استفاده کردند که به آن‌ها اجازه می‌داد اسکریپت پاورشلی را از سرور ریموت اجرا کنند. در آن یکی نیز مهاجمین توانستند از طریق اکسپلویت آسیب‌پذیری CVE-2017-10271 که در نهایت گذاشت آن‌ها اسکریپت را اجرا کنند، سرور وب‌لاجیک را دستکاری کنند.

 راهکارهای امنیتی

اول از همه مطمئن شوید همه دستگاه‌های سازمانی نظیر سرورها به راهکار امنیتی قوی‌ای مجهز هستند. علاوه بر این بهتر است استراتژی ضدباج‌افزار نیز اتخاذ کرده و محض اطمینان در صورت بروز حمله خود را زودتر آماده کنید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.