پیچیده تر شدن حملات مادی واتر

کمیته رکن چهارم – شرکت سیسکو اعلام کرد گروه مادی واتر در کمپین بدافزاری جدید خود، به منظور جلوگیری از شناسایی شدن از شیوه‌های تازه‌ای استفاده می‌کند.

متخصصان امنیتی واحد تالوس شرکت سیسکو به تازگی کمپینی به نام «بلک واتر» (BlackWater) را شناسایی کرده و به گروه مادی واتر (MuddyWater APT) نسبت دادند. این گروه با نام‌های دیگری مانند «سید ورم» (SeedWorm) و «تمپ زاگرس» (TEMP.Zagros) نیز شناخته شده و ادعا می‌شود وابسته به دولت ایران است.

متخصصان توضیح دادند گروه جاسوسی سایبری یاد شده از طریق اضافه کردن ۳ گام به عملیات خود به منظور جلوگیری از تشخیص، تکنیک‌ها، روش‌ها و روندهای (TTP) خود را بروز رسانی کرده‌اند.

اولین فعالیت مادی واتر در اواخر سال ۲۰۱۷ شناسایی شد که نهادهای مختلفی را در سرتاسر آسیای غربی هدف قرار داده بودند. کارشناسان ادعا می‌کنند گروه یاد شده در بازه‌ی زمانی فوریه تا اکتبر ۲۰۱۷، به نهادهای مختلفی در عربستان، عراق، اسرائیل، امارات متحده عربی، گرجستان، هند، پاکستان، ترکیه و آمریکا حمله کرده‌اند. این مهاجمان به صورت پیوسته روش‌های حمله‌ی جدیدی را به کار گرفته‌اند.

از طرفی محققان فایرآی نیز در مارس ۲۰۱۸ ادعا کردند که گروه تمپ زاگرس در بازه زمانی ژانویه تا مارس همان سال کشورهایی آسیایی و منطقه آسیای غربی را هدف قرار داده‌اند.

هکرهای یاد شده معمولاً از اسنادی استفاده می‌کنند که دارای قالب موضوعات ژئوپلیتیک است. برای نمونه در چندین مورد از قالب اسناد مجلس ملی پاکستان یا موسسه تحقیق و توسعه فناوری بانکی هند (IDRBT) بهره گرفته‌اند.

شرکت ترند میکرو نیز در ژانویه در ۲۰۱۸ مدعی شد نوعی حمله‌ی جدید را شناسایی کرده است که در آن از اسناد و اسکریپت پاور شل آلوده استفاده می‌شود. در این حمله سید ورم سعی داشت یک درب پشتی بر پایه پاور شل را با هدف جاسوسی روی سیستم قربانی نصب کند.

سید ورم در کمپین جدید خود با نام بلک واتر، یک مایکرو آلوده برنامه کاربردی ویژوال‌بیسیک (VBA) را به «Run registry key» اضافه می‌کند تا پایداری بدافزار خود را افزایش دهد. سپس از دستورات پاور شل استفاده می‌شود تا تروجانی بر پایه پاورشل را از سرور فرماندهی و کنترل به سامانه‌ی آلوده منتقل کنند.

پژوهشگران تالوس در گزارش خود نوشته‌اند اقدامات یاد شده به هکرها اجازه می‌دهد روی لاگ‌های وب نظارت داشته باشند و سیستم‌های آلوده نشده‌ی جدید را شناسایی کنند. از طرفی شناسایی کمپین نیز مشکل‌تر می‌گردد.

پژوهشگران مدعی هستند جاسوسان سایبری یاد شده، همچنین چندین رشته متغیر را دست‌کاری می‌کنند تا از شناسایی شدن توسط یارا (Yara) جلوگیری به عمل آید. یارا نام نرم‌افزاری است که معمولاً در تحقیق و شناسایی بدافزارها به کار گرفته می‌شود.

مهاجمان از یک سند آلوده در حمله‌ی خود استفاده می‌کنند. زمانی که این فایل باز می‌شود یک مایکرو با نام «BlackWater.bas» شروع به فعالیت می‌کند. از این مایکرو با رمز عبور محافظت می‌شود تا کاربر نتواند به کدهای ویژوال‌بیسیک آن دسترسی داشته باشد.

منبع : سایبربان

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.