• info@arka.ir
  • تماس با ما: 02191300476 - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷
22 سپتامبر 2021

موجی از حملات بدافزار که به تازگی کشف شده است با استفاده از تاکتیک‌های مختلف برای به بردگی درآوردن دستگاه‌های حساس و مشخصاً با سطح اعتبار ادمین برای بهره کشی از آن‌ها در یک شبکه با هدف استخراج غیرقانونی رمزارز، مشاهده شده است.

لری کشدالر، محقق امنیتی Akamai، در مقاله‌ای که روز یکشنبه منتشر شد، گفت: “تاکتیک اصلی این بدافزار گسترش با استفاده از سیستم‌های آسیب‌پذیر و اعتبارنامه‌های ضعیف ادمین است. پس از آلوده شدن، این سیستم‌ها برای استخراج رمزارز استفاده می‌شوند”.

این بدافزار مبتنی PHP، با اسم رمز “Capoae” (مخفف “Сканирование”، کلمه روسی “اسکن”)، گفته می‌شود که از طریق یک افزونه backdoor به افزونه وردپرس به نام “download-monitor” که پس از تحمیل موفقیت‌آمیز اعتبارنامه ادمین به وردپرس نصب می‌گردد، در دستگاه میزبان مستقر می‌شود. این حملات همچنین شامل استقرار یک فایل باینری مبتنی بر زبان برنامه‌نویسی Go با قابلیت رمزگشایی است که payload‌ های مبهم با استفاده از افزونه حاوی تروجان برای درخواست GET از یک دامنه تحت کنترل مهاجم بازیابی می‌شوند.

به نقل از هکرنیوز، همچنین یک ویژگی دیگر نیز برای رمزگشایی و اجرای payload‌ های اضافی وجود دارد و از طریق فایل باینری Golang که از چندین نقص اجرای کد از راه دور در Oracle WebLogic Server (CVE-۲۰۲۰-۱۴۸۸۲) ،NoneCms (CVE-۲۰۱۸-۲۰۰۶۲) و Jenkins ( CVE-۲۰۱۹-۱۰۰۳۰۲۹ و CVE-۲۰۱۹-۱۰۰۳۰۳۰) رنج می‌برد، بهره گرفته تا بتواند راه خود را به سیستم‌هایی که SSH را اجرا می‌کنند پیدا کرده و در نهایت نرم‌افزار استخراج XMRig را نصب و راه‌اندازی نماید.

جلوگیری از حملات باج‌افزار
علاوه بر این، زنجیره حمله به دلیل ترفند‌های خاص خود برای ماندگاری در دستگاه‌ها، که شامل انتخاب یک مسیر سیستمی با ظاهر قانونی در دیسک است که احتمالاً باینری سیستم در آن یافت می‌شود و همچنین ایجاد یک نام فایل تصادفی شش کاراکتری که بعداً برای کپی کردن باج‌افزار در محلی جدید در سیستم و قبل از حذف بدافزار و هنگام اجرا استفاده می‌گردد، شناخته می‌شود.

کشدالر گفت: “استفاده کمپین Capoae از آسیب‌پذیری‌ها و تاکتیک‌های متعدد نشان می‌دهد که این اپراتور‌ها به چه میزان قصد دارند تا جایی که ممکن است بر روی بسیاری از دستگاه‌ها برای رسیدن له مقصود خود تکیه کنند. خبر خوب این است که همان تکنیک‌هایی که ما به اکثر سازمان‌ها توصیه می‌کنیم تا سیستم‌ها و شبکه‌ها را ایمن نگه دارند، هنوز در این مورد قابل اعمال است”.

کشدالر افزود: “از اعتبارنامه‌های ضعیف یا پیش فرض برای سرور‌ها یا برنامه‌های کاربردی استفاده نکنید. همچنین اطمینان حاصل کنید که برنامه‌های کاربردیتان را با جدیدترین پچ‌های امنیتی به روز نگه می‌دارید و هر از گاهی آن‌ها را بررسی می‌کنید. به علاوه مراقب مصرف بیش از حد معمول منابع سیستم، فرایند‌های عجیب و غریب غیرمنتظره، فرایند‌های ساختگی مشکوک و لاگ‌های ورودی دسترسی مشکوک باشید. دقت، شناسایی و توجه به این موارد، به شما کمک می‌کند تا به طور بالقوه دستگاه‌های آسیب دیده را شناسایی کنید″.

27 جولای 2021

یک بدافزار مخرب استخراج رمزارز کراس پلتفرم معروف، همچنان با هدف قرار دادن آسیب پذیری های قدیمی و تکیه بر آنها، ضمن بسط دادن همزمان انواع مکانیسم های توزیع و ارتقای تکنیک های خود برای به حداکثر رساندن اثربخشی کمپین هایش، به ضربه زدن به سیستم عامل های ویندوز و لینوکس ادامه می دهد.

مایکروسافت در مقاله فنی که هفته پیش منتشر شد، اعلام کرد: “LemonDuck، یک بدافزار فعال به روز شده و نیرومند است که اساساً به خاطر اقداماتش در راستای استخراج رمزارز و بات نت شناخته می شود. این بدافزاز با اتخاذ رفتارهای پیچیده تر و افزایش عملیات های خود، همان مسیر قبل را در پیش گرفته و دنبال میکند. امروزه، فراتر از استفاده از منابع برای فعالیت های سنتی بات ها و استخراج رمز ارز، LemonDuck اطلاعات را سرقت می کند، کنترلر های امنیتی را حذف می کند، از طریق ایمیل گسترش یافته و پخش میشود، به صورت جانبی حرکت می کند و در نهایت ابزارهای بیشتری را برای فعالیت های مبتنی بر کنترل اپراتور مستقر مینماید”.

این بدافزار به دلیل توانایی انتشار سریع در شبکه آلوده برای تسهیل سرقت اطلاعات و تبدیل دستگاه ها به بات های استخراج رمزارز به وسیله هدایت منابع محاسباتی خود به سمت استخراج غیرقانونی رمزارز، مشهور است. قابل ذکر است که LemonDuck به عنوان یک لودر برای حملات بعدی عمل می کند که شامل سرقت اعتبارنامه ها و نصب ایمپلنت هایی برای مراحل بعد است که می توانند به عنوان دروازه ورودی برای انواع تهدیدات مخرب، از جمله باج افزار باشند.

فعالیت های LemonDuck برای اولین بار و قبل از شروع به استفاده از ترندهایی با مضمون COVID-19 در حملات ایمیل سال ۲۰۲۰ و حتی نقایص سرور Exchange ProxyLogon که اخیراً به آن پرداخته شده است تا دسترسی به سیستم های پچ نشده را پیدا کند، در ماه می سال ۲۰۱۹ در چین مشاهده گردیده است. تاکتیک قابل توجه دیگر آن نیز، توانایی پاک کردن سایر مهاجمان از یک دستگاه آسیب دیده با خلاص شدن از شر بدافزارهای مخرب و جلوگیری از هرگونه آلودگی جدید به وسیله پچ کردن آسیب پذیری هاییست که برای دسترسی مشابه استفاده میشده است.

حملات شامل بدافزار LemonDuck در بخشهای اصلی تولید و IoT متمرکز بوده است. همچنین کشورهایی از جمله ایالات متحده آمریکا، روسیه، چین، آلمان، انگلیس، هند، کره، کانادا، فرانسه و ویتنام نیز بیشترین برخوردها و درگیری ها را با این بدافزار داشته اند.

افزون بر این، مایکروسافت از فعالیت بدافزار دومی که بر LemonDuck برای دستیابی به اهداف جداگانه تکیه می کند، پرده برداشت. شرکت مایکروسافت اسم رمز این بدافزاز را “LemonCat” گذاشته است. گفته می شود که زیرساخت حمله همراه با نوع “Cat” در ژانویه ۲۰۲۱ ظهور کرده است و در نهایت منجر به استفاده از آن در حملات سواستفاده از آسیب پذیری های هدف قرار دادن Microsoft Exchange Server شده است. نفوذهای بعدی با استفاده از دامنه های Cat منجر به نصب backdoor، سرقت اعتبارنامه ها و داده ها و استقرار بدافزار شده است که غالباً یک تروجان ویندوز به نام Ramnit است.

مایکروسافت بیان داشت: “این واقعیت که از زیرساخت Cat برای فعالیت های خطرناک تر استفاده می شود، آلودگی های مخرب را از طریق زیرساخت Duck کم نمی کند. در عوض، این اطلاعات زمینه مهمی را برای درک بهتر این تهدید اضافه می کند: همان مجموعه از ابزارها، دسترسی ها و روش ها را مجددا می توان در فواصل زمانی پویا برای تأثیر بیشتر و بهتر، استفاده کرد”.

19 جولای 2020

کارشناسان کسپرسکی از حملات چهار تروجان بانکی گیلدما، جاوالی، ملکوز و گرندوریرو به کاربران آمریکایی و اروپایی خبر دادند.

 

به گفته کارشناسان این آزمایشگاه، این تروجان‌ها که به نام‌های گیلدما (Guildma)، جاوالی (Javali)، ملکوز (Melcoz) و گرندوریرو (Grandoreiro) شناخته می‌شوند خاستگاه برزیلی دارند و از متدهای نوین شناسایی و جمع‌آوری اطلاعات بهره می‌گیرند. این چهار تروجان بانکی از سوی محققان کسپرسکی گروه Tetrade نام‌گذاری شده‌اند.

تروجان گیلدما که پنج سال پیش در برزیل ظهور کرده است، کاربران کشورهای آمریکای جنوبی، ایالات‌متحده آمریکا، پرتغال، اسپانیا را هدف قرار می‌دهد. این بدافزار از طریق ایمیل‌های فیشینگ توزیع‌شده و پشت نقاب پیام‌های اداری و رسمی و آگهی‌های مختلف مخفی می‌شود.

این بدافزار قادر است با بهره‌گیری از افزونه‌های خاص کدهای مخرب را در سیستم قربانی مخفی سازد. گیلدما می‌تواند اطلاعات پیکربندی مربوط به آدرس‌های سرورهای کنترل را از طریق صفحات فیس بوک و یوتیوب دریافت کند.

تروجان جاوالی که از سال ۲۰۱۷ فعالیت می‌کند، کاربران ارز دیجیتال و مشتریان بانک‌های مکزیک را هدف قرار داده و همچون گیلدما از طریق ایمیل‌های فیشینگ پخش می‌شود. در حال حاضر نیز برای دریافت اطلاعات مربوط به سروهای فرمان از یوتیوب استفاده می‌کند.

بدافزار ملکوز نیز که از سال ۲۰۱۸ فعالیت خود را آغاز کرده است، کاربران مکزیک، اسپانیا و شیلی را هدف قرار می‌دهد. این خانواده علاوه بر سرقت اطلاعات مالی به مهاجمان دیگر نیز این امکان را می‌دهد به سیستم‌های قربانیان از راه دور دسترسی داشته باشند.

گرندوریور نیز که شهرت بسیاری دارد در ابتدا فقط کاربران آمریکای لاتین را هدف قرار می‌داد، اما اکنون اروپا را نیز در جامعه هدف خود قرار داده است. این تروجان معمولاً از طریق سایت‌های هک شده و حملات فیشینگ هدفمند توزیع می‌شود. گرندوریور به‌عنوان سرویس ارائه می‌شود و بسیاری از هکرها با دسترسی به برخی ابزارهای آن حملات خود را تدارک می‌بینند.

طبق گزارش کسپرسکی، هکرهایی که پشت این چهار خانواده تروجان بانکی قرار دارند به دنبال مشتری در کشورهای دیگر هستند تا بدافزارهای خود را صادر کنند. این بدافزارها همواره قابلیت‌های جدیدی کسب کرده و در حملات مختلف مورداستفاده قرار می‌گیرند.