کشف جاسوس سایبری در خاورمیانه
به گزارش مجله 90 جعبه، خبرگزاری مهر: مرکز مدیریت راهبردی فضای فراوری و تبادل اطلاعات ریاست جمهوری نسبت به حمله یک گروه جاسوسی سایبری پیشرفته با نام بیگ بنگ که منطقه خاورمیانه را هدف قرار داده است، هشدار داد.
در چند هفته گذشته، تیم امنیتی Check Point یک گروه جاسوسی APT (گروه تهدید سایبری پیشرفته) را کشف نموده است که حملاتی را علیه نهادهایی در سراسر خاورمیانه، انجام داده است.
مرکز مدیریت راهبردی افتای ریاست جمهوری در این باره خاطرنشان کرد: این حملات با ارسال ایمیل های فیشینگ به اهداف انجام می شود که ایمیل ها حاوی یک فایل پیوست آرشیو self-extracting و شامل دو فایل است: یک سند Word و یک فایل اجرایی مخرب. سند Word قربانی را منحرف می نماید تا بدافزار در پس زمینه سیستم نصب شود.
این بدافزار حاوی ماژول های مختلفی از قبیل موارد زیر است:
از سیستم قربانی اسکرین شات تهیه می نماید و آن را به سرور C&C ارسال می نماید.
نام و شناسه های فرایندهای پردازشی در حال انجام را در فایلی با نام sat.txt ذخیره و آن را به سرور ارسال می نماید.
لیستی از فایل های doc، odt، xls، ppt، pdf و ... قربانی را ارسال می نماید.
یک فایل با پسوند txt را از یک آدرس اینترنتی دانلود می نماید و پس از تغییر پسوند آن به exe، آنرا اجرا می نماید.
جزئیات سیستم را بصورت لاگ به سرور ارسال می نماید.
سیستم را Reboot می نماید.
یک فرایند پردازشی را براساس نام آن متوقف می نماید.
بدنه را از startup حذف می نماید و بعلاوه فایل اصلی آن را نیز پاک می نماید.
فایل اجرایی بدافزار را بصورت اتوماتیک پاک می نماید.
لیستی از پارتیشن های موجود در سیستم قربانی را به سرور ارسال می نماید.
هدف اصلی این حملات که BigBang نام گرفته است، هنوز تعیین نیست، اما واضح است که مهاجم پس از جمع آوری اطلاعات، مرحله دوم حملات را آغاز خواهد نمود.
گروه Talos در ماه ژوئن سال 2017، حملات دیگری از این گروه APT را کشف کرد و پس از آن تا به امروز حملات وسیعی از این گروه گزارش نشده است. اما حمله BigBang دارای قابلیت ها و زیرساخت های تهاجمی بهبود یافته ای است.
نمونه های اولیه این حملات در اواسط ماه آوریل امسال مشاهده شده است، اما به یاری خبرهای استفاده شده در اسناد می توان دریافت که آغاز حملات به مارچ 2018 برمی شود.
بدافزار استفاده شده در این حملات، نسخه بهبود یافته از بدافزاری است که در سال گذشته مورد استفاده قرار گرفته است. بدافزار با زبان C++ نوشته شده است و بصورت یک فایل اجرایی self-extracting بسته بندی شده است.
نام فایل اجرایی DriverInstallerU.exe است، اما metadata آن نشان می دهد که نام اصلی فایل Interenet Assistant.exe است. پس از اجرای این فایل، ماژول های بدافزار پس از برقراری ارتباط با سرور C&C فعال می شوند.
باید اشاره نمود که این حملات بر اساس تجربه قبلی این گروه APT در سال گذشته انجام گرفته است و قابلیت ها و کاربران هدف آنها افزایش یافته است. مقاصد اصلی حملات تعیین نیست اما مرحله بعدی حملات در آینده صورت خواهد گرفت.
IOCها: هش فایل های مربوط به حمله:
a210ac6ea0406d81fa5682e86997be25c73e9d1b
994ebbe444183e0d67b13f91d75b0f9bcfb011db
74ea60b4e269817168e107bdccc42b3a1193c1e6
511bec782be41e85a013cbea95725d5807e3c2f2
9e093a5b34c4e5dea59e374b409173565dc3b05b
دامنه های مربوط به حمله:
lindamullins[.]info
spgbotup[.]club
namyyeatop[.]club
namybotter[.]info
sanjynono[.]website
exvsnomy[.]club
ezofiezo[.]website
hitmesanjjoy[.]pro
پ
منبع: برترین ها