روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ متخصصین تیم GReAT ما در کنفرانس بین‌المللی تحلیلگر امنیت برخی تحقیقات جذاب را ارائه دادند. شاید هر یک را مفصل تکرار نکنیم اما در این مقاله قصد داریم هر سرفصل را مختصر توضیح داده و به حقیقت‌های جالب در مورد آن‌ها بپردازیم. با ما همراه باشید.

پلت‌فرم جاسوس‌افزار StripedFly

تقریباً یک داستان کاراگاهی درباره بدافزاری بود که پیشتر به عنوان ماینر رمزارز Monero شناسایی شد اما در واقع کاوری بود برای تهدید پیچیده‌ی ماژول که قادر بود کامپیوترهایی را که هم ویندوز و هم لینوکس را اجرا می‌کنند آلوده کند. ماژول‌های مختلف StripedFly می‌توانند از کامپیوتر اطلاعات سرقت کنند، اسکرین‌شات بگیرند، از میکروفون صدا ضبط کرده و پسوردهای وای‌فای را رهگیری کنند. با این وجود این نه تنها برای جاسوسی کارایی داشت که همچنین ماژول‌هایی را دریافت کرد که می‌توانستند حکم باج‌افزار داشته باشند و ماین رمزارز نیز انجام دهند. نکته جالب اینکه این تهدید می‌تواند با استفاده از اکسپلویت EthernalBlue تسری پیدا کند هرچند بردار سال 2017 پچ شد. افزون بر این، StripedFly می‌تواند از کلیدها و پسوردهای سرقتی برای آلوده کردن سیستم‌های لینوکس و ویندوز که سرور SSH را اجرا می‌کنند استفاده کند.

جزئیات عملیات Triangulation

گزارش دیگر نشست تحلیلگران امنیتی به تحقیق در حال انجام عملیات Triangulation اختصاص دارد که از میان موارد دیگر کارمندان خود شرکت ما را هدف قرار داد. تحلیل مبسوط این تهدید به متخصصین ما اجازه داد تا در سیستم آی‌اواس 5 آسیب‌پذیری شناسایی کنند. چهار تای این آسیب‌پذیری‌ها (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 و CVE-2023-41990) آسیب‌پذیری‌های روز صفر بودند. آن‌ها نه تنها آیفون را که آیپاد، آیپد، مک‌اواس، اپل تی‌وی و اپل واچ را نیز آلوده کردند. همچنین کاشف بعمل آمد که مهاجمین علاوه بر آلوده کردن دستگاه‌ها از طریق iMessage می‌توانند به مرورگر سافاری هم حمله کنند.

کمپین جدید لازاروس

گزارش سوم متخصصین  GReAT به حملات جدید گروه Lazarus APT اختصاص دارد. این گروه اکنون در حال هدف قرار دادن توسعه‌دهندگان نرم‌افزار است (که برخی‌شان چندین بار مورد حمله واقع شدند) و فعالانه دارند حملات زنجیره تأمین پیاده می‌کنند. لازاروس از طریق آسیب‌پذیری‌های نرم‌افزار قانونی برای رمزگذاری ارتباطات وب، سیستم را آلوده کرده و یک ایمپلنت جدید SIGNBT را مستقر می‌کند که بخش اصلی آن فقط در حافظه کار می‌کند.

  این برای مطالعه قربانی (دریافت تنظیمات شبکه، نام فرآیندها و کاربران) و همچنین راه اندازی بار مخرب اضافی است. به‌ویژه، نسخه بهبودیافته بک‌در LPEClient را دانلود می‌کند که در حافظه نیز اجرا می‌شود و به نوبه خود بدافزاری را راه‌اندازی می‌کند که قادر به سرقت اطلاعات کاربری یا داده‌های دیگر است. اطلاعات فنی در مورد ابزارهای جدید گروه Lazarus APT و همچنین شاخص های سازش را می توانید در وبلاگ Securelist مشاهده کنید.

حمله TetrisPhantom

علاوه بر این، متخصصین جزئیاتی از حمله TetrisPhantom ارائه دادند که هدفش آژانس‌های دولتی در منطقه APAC بود. TetrisPhantom به دستکاری نوع خاصی از درایوهای امن یواس‌بی که رمزگذاری سخت‌افزاری ارائه می‌دهند و به طور رایجی توسط سازمان‌های دولتی استفاده می‌شوند متکی است. متخصصین موقع بررسی این تهدید، کمپینی تماماً جاسوسی شناسایی کرد که  طیفی از ماژول‌های مخرب برای اجرای فرمان‌ها، جمع‌آوری فایل‌ها و اطلاعات از کامپیوترهای دستکاری‌شده و انتقال آن‌ها به سایر ماشین‌هایی که آن‌ها هم از درایوهای امن یواس‌بی استفاده می‌کردند به کار می‌برد.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.