نرمافزار جاسوسی Anomalous، قربانیان خود را از میان شرکتهای صنعتی انتخاب میکند.
نرمافزار جاسوسی Anomalous، قربانیان خود را از میان شرکتهای صنعتی انتخاب میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان تاکنون چندین کمپین جاسوسافزار را کشف کردهاند که با سرقت اکانتهای ایمیل برای کلاهبرداری مالی و یا فروش مجدد آنها به سایر کاربران، شرکتهای صنعتی را هدف قرار میدهند.
این کمپینها از ابزارهای جاسوسافزار رده عام (off-the-shelf) استفاده میکنند، اما بهمنظور فرار از شناسایی هر یک از این موارد را برای مدتزمان بسیار محدودی استفاده میکنند.
نمونههایی از بدافزارهایی که در این قبیل حملات مورد استفاده قرار میگیرند عبارتاند از: AgentTesla/Origin Logger، HawkEye، Noon/Formbook، Masslogger، Snake Keylogger، Azorult و Lokibot.
Kaspersky این دست از حملات را به دلیل ماهیت بسیار کوتاه آنها در مقایسه با موارد معمول در این زمینه "غیرعادی" مینامد. به بیان دقیقتر، حداکثر طول عمر این حملات تقریباً به ۲۵ روز محدود میشود، درحالیکه اکثر کمپینهای جاسوس افزار چندین ماه یا حتی سالها طول میکشند.
تعداد سیستمهای مورد حمله توسط این کمپینها همیشه زیر صد است که نیمی از آنها ماشینهای ICS (سیستمهای کامپیوتری یکپارچه) هستند که در محیطهای صنعتی مستقر شدهاند.
عنصر غیرعادی دیگر نیز استفاده از پروتکل ارتباطی مبتنی بر SMTP برای استخراج دادهها به سرور C۲ تحت کنترل کاربر است. برخلاف پروتکل HTTPS که در اکثر کمپینهای جاسوسافزار برای ارتباطات C۲ استفاده میشود، پروتکل SMTP یک کانال یکطرفه است که فقط به سرقت دادهها واکنش نشان میدهد.
SMTP انتخاب رایجی برای عوامل تهدید نیست، چراکه قابلیت واکشی فایلهای باینری یا سایر فایلهای غیر متنی را ندارد، اما باتوجه به ساختار ساده و توانایی در ترکیب با ترافیک شبکه معمولی، شرایط پیشرفت خود را مهیا میسازد.
عوامل این کمپینها از حسابهای کاربری سرقت شده کارمندان که از طریق spear-phishing به دست آوردهاند، استفاده میکنند تا بتوانند نفوذ عمیقتری داشته باشند و بهصورت جانبی در شبکه شرکت حرکت کنند.
علاوه بر این، آنها از صندوقهای پستی شرکتهایی که در حملات قبلی به خطر افتادهاند، بهعنوان سرور C۲ برای حملات جدید استفاده میکنند که این موضوع تشخیص و نشانهگذاری مکاتبات داخلی مخرب را بسیار چالشبرانگیز میکند.
Kaspersky در همین زمینه گزارش میدهد: "این موضوع بسیار عجیب است که فناوریهای ضد هرزنامه شرکتها به مهاجمان کمک میکند در حین استخراج مدارک سرقت شده از دستگاههای آلوده، در میان ایمیلهای موجود در پوشههای هرزنامه، خود را پنهان سازند."
تحلیلگران ۲۰۰۰ حساب ایمیل شرکتی را شناسایی کردند که به عنوان سرورهای موقت C۲ مورد سوءاستفاده قرار گرفته و همچنین ۷۰۰۰ حساب ایمیل دیگر را شناسایی کردند که به روشهای دیگر مورد استفاده قرار گرفته بودند.
بسیاری از ایمیلهای RDP، SMTP، SSH، cPanel و حسابهای کاربری VPN به سرقت رفته توسط این کمپینها در بازارهای دارکوب معرفی و ارائه میشوند و در نهایت به سایر عوامل تهدید فروخته میشوند.
بر اساس تجزیهوتحلیلهای آماری صورتگرفته از سوی Kaspersky، حدود ۳,۹ درصد از کل حسابهای کاربری RDP فروخته شده در بازارهای غیرقانونی مذکور متعلق به شرکتهای صنعتی است.
حسابهای RDP(پروتکل کنترل دسکتاپ از راه دور) برای مجرمان سایبری باارزش هستند، زیرا آنها را قادر میسازد از راه دور به ماشینهای در معرض خطر دسترسی داشته باشند و مستقیماً با آن دستگاه تعامل کنند.
به طور معمول، اینگونه فهرستها موردعلاقه عوامل باجافزار خواهد بود، چرا که میتوانند از دسترسی به RDP برای استقرار بدافزار ویرانگر خود استفاده کنند.