نرم‌افزار جاسوسی Anomalous، قربانیان خود را از میان شرکت‌های صنعتی انتخاب می‌کند.

نرم‌افزار جاسوسی Anomalous، قربانیان خود را از میان شرکت‌های صنعتی انتخاب می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان تاکنون چندین کمپین جاسوس‌افزار را کشف کرده‌اند که با سرقت اکانت‌های ایمیل برای کلاهبرداری مالی و یا فروش مجدد آنها به سایر کاربران، شرکت‌های صنعتی را هدف قرار می‌دهند.

این کمپین‌ها از ابزار‌های جاسوس‌افزار رده عام (off-the-shelf) استفاده می‌کنند، اما به‌منظور فرار از شناسایی هر یک از این موارد را برای مدت‌زمان بسیار محدودی استفاده می‌کنند.

نمونه‌هایی از بدافزارهایی که در این قبیل حملات مورد استفاده قرار می‌گیرند عبارت‌اند از:
AgentTesla/Origin Logger، HawkEye، Noon/Formbook، Masslogger، Snake Keylogger، Azorult و Lokibot.

Kaspersky این دست از حملات را به دلیل ماهیت بسیار کوتاه آنها در مقایسه با موارد معمول در این زمینه "غیرعادی" می‌نامد. به بیان دقیق‌تر، حداکثر طول عمر این حملات تقریباً به ۲۵ روز محدود می‌شود، درحالی‌که اکثر کمپین‌های جاسوس افزار چندین ماه یا حتی سال‌ها طول می‌کشند.

تعداد سیستم‌های مورد حمله توسط این کمپین‌ها همیشه زیر صد است که نیمی از آن‌ها ماشین‌های ICS (سیستم‌های کامپیوتری یکپارچه) هستند که در محیط‌های صنعتی مستقر شده‌اند.

عنصر غیرعادی دیگر نیز استفاده از پروتکل ارتباطی مبتنی بر SMTP برای استخراج داده‌ها به سرور C۲ تحت کنترل کاربر است. برخلاف پروتکل HTTPS که در اکثر کمپین‌های جاسوس‌افزار برای ارتباطات C۲ استفاده می‌شود، پروتکل SMTP یک کانال یک‌طرفه است که فقط به سرقت داده‌ها واکنش نشان می‌دهد.

SMTP انتخاب رایجی برای عوامل تهدید نیست، چراکه قابلیت واکشی فایل‌های باینری یا سایر فایل‌های غیر متنی را ندارد، اما باتوجه ‌به ساختار ساده و توانایی در ترکیب با ترافیک شبکه معمولی، شرایط پیشرفت خود را مهیا می‌سازد.

عوامل این کمپین‌ها از حساب‌های کاربری سرقت شده کارمندان که از طریق spear-phishing به دست آورده‌اند، استفاده می‌کنند تا بتوانند نفوذ عمیق‌تری داشته باشند و به‌صورت جانبی در شبکه شرکت حرکت کنند.

علاوه بر این، آنها از صندوق‌های پستی شرکت‌هایی که در حملات قبلی به خطر افتاده‌اند، به‌عنوان سرور C۲ برای حملات جدید استفاده می‌کنند که این موضوع تشخیص و نشانه‌گذاری مکاتبات داخلی مخرب را بسیار چالش‌برانگیز می‌کند.

Kaspersky در همین زمینه گزارش می‌دهد: "این موضوع بسیار عجیب است که فناوری‌های ضد هرزنامه شرکت‌ها به مهاجمان کمک می‌کند در حین استخراج مدارک سرقت شده از دستگاه‌های آلوده، در میان ایمیل‌های موجود در پوشه‌های هرزنامه، خود را پنهان سازند."

تحلیلگران ۲۰۰۰ حساب ایمیل شرکتی را شناسایی کردند که به عنوان سرور‌های موقت C۲ مورد سوءاستفاده قرار گرفته و همچنین ۷۰۰۰ حساب ایمیل دیگر را شناسایی کردند که به روش‌های دیگر مورد استفاده قرار گرفته بودند.

بسیاری از ایمیل‌های RDP، SMTP، SSH، cPanel و حساب‌های کاربری VPN به سرقت رفته توسط این کمپین‌ها در بازارهای دارک‌وب معرفی و ارائه می‌شوند و در نهایت به سایر عوامل تهدید فروخته می‌شوند.

بر اساس تجزیه‌وتحلیل‌های آماری صورت‌گرفته از سوی Kaspersky، حدود ۳,۹ درصد از کل حساب‌های کاربری RDP فروخته شده در بازارهای غیرقانونی مذکور متعلق به شرکت‌های صنعتی است.

حساب‌های RDP(پروتکل کنترل دسکتاپ از راه دور) برای مجرمان سایبری باارزش هستند، زیرا آنها را قادر می‌سازد از راه دور به ماشین‌های در معرض خطر دسترسی داشته باشند و مستقیماً با آن دستگاه تعامل کنند.

به طور معمول، این‌گونه فهرست‌ها موردعلاقه عوامل باج‌افزار خواهد بود، چرا که می‌توانند از دسترسی به RDP برای استقرار بدافزار ویرانگر خود استفاده کنند.