کمپانی مایکروسافت روز پنجشنبه در مورد یک کمپین گسترده ایمیل هشدار داد که یک بدافزار مبتنی بر جاوا با نام STRRAT، در حالی که خود را به عنوان یک باج افزار نشان میدهد، برای سرقت اطلاعات محرمانه از سیستم های آلوده مورد استفاده قرار میگیرد.
تیم اطلاعات امنیتی مایکروسافت در یک رشته توییت عنوان کرد: "این RAT به دلیل اینکه اقدام به افزودن پسوند نام .crimson به فایل ها کرده و آنها را رمزگذاری نمیکند، به رفتار شبیه به باج افزار معروف است".
به گزارش هکر نیوز، موج جدیدی از حملاتی که این شرکت هفته گذشته مشاهده کرده است، با ایمیل های هرزنامه ارسال شده از حساب های ایمیل در معرض خطر با عنوان "Outgoing Payments" که در عنوان موضوع درج شده است آغاز شده و گیرندگان را به گشودن فایل PDF مخرب که ادعا می کنند یک حواله است، ترغیب می کند اما در اصل با این کار به دامنه اصلی برای بارگیری بدافزار STRRAT متصل میشود.
این بدافزار علاوه بر برقراری ارتباط با سرور command-and-control در حین اجرا، دارای طیف وسیعی از ویژگی ها است که به آن امکان می دهد رمزهای عبور مرورگر را جمع آوری کند، لاگ کلیدهای ورودی را گردآوری کند و دستورات از راه دور و اسکریپت های PowerShell را اجرا کند.
STRRAT برای اولین بار در ژوئن سال 2020 توسط تیم امنیت سایبری G Data به عنوان یک تهدید بدافزاری ویندوز (نسخه 1.2) در ایمیل های فیشینگ حاوی پیوست های مخرب Jar (یا Java Archive)، مشاهده شد.
کارستن هان، تحلیلگر بدافزار G Data، توضیح داد: "این RAT متمرکز بر سرقت اطلاعات مرورگرها و سرویس گیرنده های ایمیل و رمزهای عبور از طریق ورود به سیستم است. این بدافزار از مرورگرها و سرویس گیرنده های ایمیل شامل فایرفاکس، اینترنت اکسپلورر، کروم، فاکس میل، اوتلوک و تاندربرد پشتیبانی می کند."
قابلیت های باج افزار آن در ابتدایی ترین حالت ممکن قرار دارد، زیرا مرحله رمزگذاری فقط تغییر نام و افزودن پسوند ".crismon" بر روی فایل ها انجام میپذیرد. کان افزود: "در صورت حذف این پسوند، می توان به طور معمول به فایل ها دسترسی پیدا کرد".
مایکروسافت همچنین یادآوری کرده است که نسخه 1.5 نسبت به نسخه های قبلی گیج کننده تر و ماژولارتر است، که نشان می دهد مهاجمان این عملیات به طور فعال در حال بهبود مجموعه ابزارهای خود هستند. اما این واقعیت که رفتار جعلی رمزگذاری توسط این بدافزار همچنان بدون تغییر باقی مانده است، نشان دهنده این هدف است که این گروه قصد دارند با استفاده از اخاذی، به سرعت از طریق کاربران ناآگاه سوءاستفاده و کسب درآمد کنند.
مهاجمان سایبری به طور فزاینده ای از تلگرام (Telegram) به عنوان یک سیستم command-and-control برای توزیع بدافزار در سازمان هایی سوءاستفاده می کنند، که بعدا می توانند جهت ضبط اطلاعات حساس از سیستم های هدف استفاده شوند.
محققان شرکت امنیت سایبری چک پوینت که طی سه ماه گذشته حدود 130 حمله را شناسایی کرده اند که از یک تروجان جدید از راه دور چند منظوره (RAT) به نام "ToxicEye" استفاده می کنند. در پی این مورد، آنها اعلام کرده اند: "حتی در زمان نصب یا استفاده از پیامرسان تلگرام، این سیستم به هکرها اجازه می دهد تا دستورات و عملیات مخرب را، از راه دور و از طریق این برنامه ارسال پیام، ارسال کنند".
به گزارش هکر نیوز، استفاده از تلگرام برای تسهیل فعالیت های مخرب چیز جدیدی نیست. در ماه سپتامبر سال 2019، یک سارق اطلاعات به نام ماساد استیلر پیدا شد که اطلاعات و کیف پول رمزارزها را از رایانه های آلوده با استفاده از پیامرسان تلگرام به عنوان یک کانال استخراج اطلاعات، غارت می کرد. سپس سال گذشته، گروه های مِیجکارت از همان روش برای ارسال جزئیات پرداخت هایی که سرقت شده بودند، از طریق وب سایت های در معرض خطر به مهاجمان استفاده کردند.
این استراتژی به روش های مختلف نیز جواب داده و قابل انجام است. برای شروع، تلگرام نه تنها توسط موتورهای شرکتهای تولیدکننده آنتی ویروس مسدود نمی شود، بلکه این برنامه پیامرسان به روند ناشناس ماندن کمک میکند؛ زیرا فرایند ثبت نام فقط به یک شماره تلفن همراه احتیاج دارد و در نتیجه از هر مکان در سراسر جهان به دستگاه های آلوده دسترسی می یابد.
در آخرین کمپین کشف شده توسط شرکت امنیت اطلاعات چک پوینت، هیچ تغییر و تفاوت جدیدی دیده نشده است. ToxicEye از طریق ایمیل های فیشینگ تعبیه شده در یک فایل اجرایی مخرب ویندوز پخش شده و از تلگرام برای ارتباط با سرور command-and-control (C2) استفاده می کند و داده ها را در آن بارگذاری می نماید. این بدافزار همچنین شامل انواع سوءاستفاده هایی است که به آن امکان می دهد داده ها را سرقت نموده، فایل ها را انتقال داده و حذف کند، فرآیندها را متوقف کند، keylogger را اجرا کند، میکروفون و دوربین رایانه را برای ضبط صدا و تصویر در اختیار بگیرد و حتی فایل ها را برای باجگیری از کاربر رمزگذاری کند.
به طور ویژه زنجیره حمله با ایجاد یک ربات تلگرام توسط مهاجم آغاز می شود و قبل از اینکه آن را در یک فرم اجرایی (مثل paypal checker توسط saint.exe) وارد کند، در فایل پیکربندی RAT جاسازی می شود. سپس این فایل .EXE به یک فایل Word جهت فریب مخاطب تزریق می شود (solution.doc) که با باز شدن آن، تلگرام RAT را بارگیری و اجرا می کند (C:\Users\ToxicEye\rat.exe).
ایدان شرابی، مدیر گروه تحقیق و توسعه چک پوینت اعلام کرد: "ما یک روند رو به رشد را کشف کرده ایم که نویسندگان بدافزار از پلت فرم پیامرسان تلگرام به عنوان روند و روش جدیدی از یک سیستم command-and-control برای توزیع بدافزار در سازمان ها استفاده می کنند. ما اعتقاد داریم که مهاجمان از این موقعیت که تلگرام تقریباً در همه سازمانها مورد بصورت مجاز مورد استفاده قرار می گیرد بهره برداری کرده و از این امکان برای انجام حملات سایبری سوءاستفاده می کنند که در پی آن می توانند محدودیت های امنیتی را دور بزنند".
تهدیدات احتمالی استفاده از سیستم های دارای نسخه منسوخ و به روز رسانی نشده ویندوز 7، پسوردهای ضعیف و نا امن و نرم افزار به اشتراک گذاری محیط رایانه ای TeamViewer در اوایل سال 2020 مشغول فعالیت بوده اند. به گزارش سایبرسکیوریتی مگزین، دفتر تحقیقات فدرال آمریکا بار دیگر به نهادهای فدرال و سازمان های خصوصی هشدار داد که شبکه داخلی خود را برای هر گونه فعالیت مشکوک و مخرب مورد بررسی و نظارت قرار دهند. این هشدار بر مبنای حمله سایبری اخیر به شبکه مجموعه تصفیه پساب اولدزمار صادر شد که در پی آن حمله، مهاجم ها به نرم افزار کنترل میزان مواد شیمیایی که جهت استفاده در آب خروجی آن مجموعه برای ورود به شهر استفاده میشدند، دسترسی پیدا کرده بودند.
نهادهای همچون سایبرسکیوریتی و آژانس امنیت زیرساخت آمریکا (CISA)، آژانس حفاظت از محیط زیست (EPA) و مراکز تحلیل و اشتراک گذاری اطلاعات چند ایالتی (MS-ISAC) اذعان کردند که مجرمان اینترنتی از سیستم های با نسخ قدیمی ویندوز 7، نرم افزار TeamViewer و رمزهای عبور حساب ضعیف اپراتورهای این کارخانه برای نفوذ به شبکه استفاده کرده اند.
تهدیدهای ابزار کنترل از راه دور:
دفتر تحقیقات فدرال اذعان داشته است که معمولا نرم افزارهای اشتراک گذاری محیط رایانه ای مانند TeamViewer را به عنوان هدف خود جهت انجام مهندسی اجتماعی و حملات فیشینگ به کاربران بی اطلاع بهره میبرند.
اف بی آی بیان داشته است که "ورای کاربردهای قانونی نرم افزارهای کنترل از راه دور، زمانی که ملاحظات امنیتی مناسب اتخاذ و دنبال نشوند، این قبیل نرم افزارها میتوانند به عنوان راهی برای انتقال و یا جابجایی فایلها به رایانه های افراد مورد تهاجم واقع شده، مانند تروجان های کنترل از راه دور (RATs) به کار گرفته شوند. هرچند که استفاده قانونی TeamViewer در قیاس با RATs، فعالیت های غیرطبیعی را برای کاربر نهایی و مدیران سیستم کمتر مشکوک میکند."
برای استفاده امن از نرم افزار TeamViewer، این نهاد توصیه های امنیتی ای ارائه کرده است که ذیل اشاره شده اند:
از صدور اجازه دسترسی های بدون نظارت مانند Start TeamViewer with Windows و Grant easy access خودداری نمائید.
تنظیمات شروع و راه اندازی نرم افزار TeamViewer را در حالت غیر اتوماتیک قرار دهید که به موجب آن، برنامه و سرویس های فعال در پیش زمینه وابسته به آن نیز در زمان بستن برنامه، غیرفعال باشند.
رمزهای عبور تصادفی را در راستای تولید رمزهای عبور تلفیقی حرف-عدد ده کاراکتری تنظیم نمایید.
هنگام تنظیم کنترل دسترسی برای مخاطب میزبان، از تنظیمات سفارشی برای دستیابی به سطح دسترسی مخاطب از راه دور استفاده کنید.
از لیست Block and Allow استفاده کنید تا به کاربر امکان کنترل سایر کاربران سازمانی TeamViewer که ممکن است از آن سیستم استفاده کنند را فراهم کند. این لیست همچنین میتواند مسدود سازی کاربرانی که مشکوک به دسترسی غیرمجاز هستند را اجرا کند.
مشکلات سیستم عامل ویندوز 7:
کمپانی مایکروسافت از تاریخ 14 ژانویه 2020، ارائه بروزرسانی امنیتی و پشتیبانی فنی از سیستم عامل ویندوز 7 را متوقف کرد. اف بی آی هشدار داده است که مجموعه های استفاده کننده از این سیستم عامل به دلیل کافی نبودن وعدم دریافت بروزرسانی های امنیتی که باعث دشوار بودن دفاع سیستم عامل در برابر حملات مداوم مجرمان سایبری میشود، در معرض هک شدن قرار دارند. اف بی آی همچنین افزوده است که "مجرمان سایبری همچنان به یافتن راه رخنه به سیستم عامل های قدیمی ویندوز و استفاده از پروتکل های کنترل از راه دور رایانه (RDP) به عنوان اهرمی برای نفوذ، اهتمام میورزند."
پاکسازی سایبری:
در راستای ملاحظات پاکسازی و بهبود امنیت سایبری در مقابل ریسک های احتمالی، توصیه میشود که موارد ذیل مورد مد نظر کاربران و نهادها قرار گیرند:
سیستم عامل خود را به آخرین نسخه بروزرسانی شده ارتقا (مانند ویندوز 10) ارتقا دهید.
از شناسایی چند مرحله ای استفاده نمایید.
برای محافظت از اعتبارنامه های RDP یا پروتکل های دسترسی از راه دور رایانه ای، از پسوردهای پیچیده و قوی استفاده کنید.
از تنظیم صحیح، بروز بودن و ایمن بودن آنتی ویروس، آنتی اسپم و فایروال سیستم خود اطمینان حاصل نمایید.
پیکربندی شبکه را کنترل کرده و سیستم های رایانه ای را که امکان بروزرسانی آنها فراهم نیست، از مابقی تجهیزات جدا کنید.
گزارش های همه پروتکل های اتصال از راه دور را بررسی و ممیزی نمایید.
به کاربران آموزش دهید تا اقدامات در راستای حملات مهندسی اجتماعی را شناسایی و گزارش کنند.
8 . دسترسی کاربران دارای فعالیت های غیرمعمول و غیرعادی را شناسایی و به حالت تعلیق درآورید.
مقامات همچنان به کاربران، مسئولین امنیت سایبری و نهادها توصیه مینمایند که اقدامات مشکوک مجرمانه را به مجموعه های مربوطه گزارش دهند.
مجرمان اینترنتی به روش آلوده سازی در موتورهای جستجو متوسل می شوند تا متخصصان تجاری را سمت به سایت های به ظاهر قانونی گوگل که Remote Access Trojan (RAT) را نصب می کنند و قادر به انجام حملات گسترده هستند، هدایت کنند.
به نقل از هکر نیوز، این حمله با استفاده از جستجوی فرم های تجاری مانند فاکتورها، الگوها، پرسشنامه ها و رسیدها به عنوان سنگ بنایی برای نفوذ به سیستم ها امکان پذیر می شود. کاربرانی که سعی در دانلود فایل های از پیش طراحی شده ای دارند، بدون اطلاع خودشا به وب سایتی مخرب هدایت می شوند که بدافزارها را میزبانی می کنند.
محققان ای سنتایر در مقاله ای که روز سه شنبه منتشر شد اعلام کردند: "هنگامی که RAT روی رایانه قربانی قرار گرفت و فعال شد، مهاجمین و عوامل تهدید می توانند دستوراتی را ارسال کرده و بدافزارهای دیگری از جمله باج افزار، بدافزار سرقت گواهی، تروجان بانکی را روی سیستم آلوده بارگذاری کنند و یا به سادگی از RAT به عنوان جای پای قربانی در راستای اقدامات مخرب خود استفاده کنند".
این شرکت امنیت سایبری گفت که بیش از 100000 صفحه وب منحصر به فرد و متفاوت را کشف کرده است که حاوی اصطلاحات تجاری معروف یا کلمات کلیدی مانند الگو، فاکتور، رسید، پرسشنامه و رزومه هستند که به صفحات اجازه می دهد در نتایج جستجو در رتبه بالاتری قرار بگیرند و بر این مبنا احتمال موفقیت مهاجمین را افزایش میدهد.
هنگامی که یک قربانی در وب سایتی تحت کنترل مهاجم ورود پیدا کند و فایلی را که در جستجوی آن بوده است دانلود نماید، به نقطه ای آغازی برای حملات و تهدیدات پیچیده تر تبدیل شده و در نهایت منجر به نصب RAT مبتنی بر .NET به نام SolarMarker (با نام مستعار Yellow Cockatoo ، Jupyter و پولازرت) میشود.
در یک مورد بررسی شده توسط ای سنتایر که شامل یک کارمند شرکت مدیریت مالی بود، بدافزار قابل اجرا به شکل یک فایل پیدیاف مبدل شده بود که با باز شدنش، RAT را به همراه نسخه قانونی Slim PDF به عنوان طعمه اجرا و راه اندازی می کرد.
اسپنس هاچینسون، مدیر اطلاعات حملات شرکت ای سنتایر، گفت: "جنبه نگران کننده دیگر این کمپین این است که گروه SolarMarker بسیاری از صفحات وب مخرب خود را با کلمات کلیدی مرتبط با اسناد مالی پر کرده است".
وی ادامه داد: "یک گروه جرایم اینترنتی، کارمندی را که در بخش مالی یک شرکت کار می کند یا یک کارمند را که برای یک سازمان مالی کار می کند، یک هدف با ارزش بالا قلمداد میکند. متأسفانه، به محض اینکه RAT روی سیستمی نصب شود، پتانسیل بسیار زیادی وجود دارد که فعالیت کلاهبرداری به وقوع بپیوندد".
English (UK) 
Persian (IR)