0

بدافزار fileless تهدیدی جهانی

دسته بندی ها : حملات سایبری 25 آذر 1397 مدیر سایبرلا 1104 بازدید
جرایم فضای سایبری, هک و نفوذ

گروه تحقیق تهدیدات پیشرفته مک آفی، به تازگی یک کمپین بدافزار معروف به عملیات شارپشوتر (Sharpshooter) را کشف کرده است. این کمپین، بخش های هسته ای، دفاعی، انرژی و مالی را در سراسر جهان، مورد هدف قرار داده است.

همانطور که توسط گروه تحقیقاتی مک آفی (McAfee) مشخص شده است، کمپین عملیات شارپشوتر از داده های درون حافظه ای بسیار مهم برای دانلود و اجرای بسته های اطلاعاتی (payload) سطح دوم، استفاده می کنند. این بسته ی داده ها، «Rising Sun» نام دارد و به نظر می رسد تا کنون 87 سازمان مختلف در سراسر جهان را هدف قرار داده است.

بسته ی ویروسی Rising Sun، یک درب پشتی ماژولار و کاملا کاربردی است که به منظور نظارت بر شبکه های آسیب دیده ی قربانیان طراحی شده است.

بدافزار سطح دوم یاد شده، شباهت های متعددی با تروجان درب پشتی «Duuzer» دارد. این تروجان توسط گروه لازاروس (Lazarus)، یک تهدید سایبری-جاسوسی، در حملاتی که به منظور اختلال در اهدافی از صنایع حیاتی یکسان طراحی شده بود، در طول سال 2015 مورد استفاده قرار گرفت. مشخص شده است که این گروه حداقل از سال 2009 فعال بوده است.

کمپین مذکور خود را به عنوان عملیات قانونی استخدام شغل صنعتی معرفی کرده و ماهیت خود را پنهان می کند. روند حملات نیز با یک فایل حاوی ماکروی مخرب آغاز می شود. این ماکروها به گونه ای طراحی شده اند تا اولین سطح بسته های اطلاعاتی را در حافظه ی سامانه دانلود کرده، به طور مخفیانه در پس زمینه اجرا و اطلاعات را جمع آوری کنند.

همه ی داده هایی که Rising Sun از سیستم های آلوده شده جمع آوری کرد، به سرورهای کنترل گروه فرستاده شده اند. این اقدام، اطلاعاتی راجع به جزئیات سامانه، تطبیق دهنده های شبکه، نام کاربری و نشانی های آی پی محلی را برای مهاجمان اصلی حملات فراهم کرده و همچنین به آن ها اجازه ی مدیریت فایل ها و فرایندهای سامانه را می دهد.

شرکت امنیتی ترند میکرو(Trend Micro)، با امتناع از نسبت دادن حمله به یک گروه مشخص توضیح داد:

با توجه به تفاوت های قابل توجه بین بسته ی ویروسی Rising Sun و تروجان Duuzer، این شرکت امنیتی مردد است؛ زیرا بسته ی ویروسی از کانال های ارتباطی «HTTP» و تروجان نام برده از مکانیسم ارتباطی مبتنی بر سوکت استفاده می کند.

علاوه بر این، کدهای فرمان و کد داده های بازگشتی در این 2 شاخه، متفاوت هستند. همچنین طرح های رمزنگاری که توسط سازندگان این 2 استفاده شده است، کاملا متفاوت هستند؛ زیرا تروجان نام برده از یک طرح «XOR» خاص بهره برده و Rising Sun از الگوریتم جریانی RC4 استفاده می کند.

مدیر سایت سایبرلا
مدیر سایبرلا

مدیر سایت سایبرلا

برای مشاهده مطالب سایت از طریق کانال تلگرام می توانید عضو کانال سایبرلا شوید! عضویت در کانال تلگرام

مطالب زیر را حتما بخوانید:

قوانین ارسال دیدگاه در سایت

چنانچه دیدگاهی توهین آمیز باشد و متوجه اشخاص مدیر، نویسندگان و سایر کاربران باشد تایید نخواهد شد. چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد. چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد. چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد. چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    چهار × 5 =

    لینک کوتاه :

    عضویت در خبرنامه ویژه مشتریان سیگما پلاس

    با عضویت در خبرنامه ویژه سیگما پلاس از آخرین جشنواره های سایت باخبر شوید!