کمیته رکن چهارم – گزارشات ارائه شده توسط محققان شرکت امنیتی سوفوس نشان می دهد که اخیرا یک گروه هکری معروف به RATikat با اینستالر (NSIS (Nullsoft Scriptable Install System اقدام به توزیع و استقرار RAT سرقت اطلاعات می کنند. RAT ساخته شده توسط گروه RATikat موج جدیدی از حملات به شرکت های صنعتی و بهره برداری از اطلاعات حساس آنها را در پی داشته است.
با توجه همه گیر شدن ویروس مرگبار COVID-19، مهاجمان سایبری دائماً سازمان ها را هدف قرار می دهند تا اطلاعات محرمانه آنها را به سرقت ببرند. بین نوامبر ۲۰۱۹ و ژانویه سال ۲۰۲۰، زنجیره ای از پنج کمپین حملات سایبری جداگانه گروه های مختلف هکری شناسایی شده که در بین آنها گروه RATICAT تمامی شرکت های صنعتی اروپایی، خاورمیانه و کره جنوبی را هدف قرار داده است.
با توجه به گزارشات کارشناسان امنیتی سوفوس و مرور گزارشات قدیمی تر در خصوص این گونه حملات، ممکن است این گروه هکری پشت حملات مشابه ایی باشد که در گذشته رخ داده است. علاوه بر این، مارکل پیکادو محقق امنیت سایبری در این خصوص اظهار داشته: “یک کمپین مخرب جدیدی تشکلیل شده که ما معتقدیم با یک گروه قدیمی تر که با همین سبک کار می کردند در ارتباط است. این گروه هکری با فعالیت های مخرب مهندسی اجتماعی و همچنین با بهره برداری از ویروس جهانی COVID-19 سعی میکنند کاربران مختلف را متقاعد کنند تا بر روی لینک های مورد نظر آنها کلیک کنند.”
آلودگی اینستالر NSIS
هکرها از دو فرآیند زنجیره ایی جهت تحویل پیلودهای مورد نظر خود از طریق ایمیل های فیشینگ (با اصطلاحات مهم فریب) برای آلودگی سیستم های هدف استفاده می کنند. اسناد ضمیمه شده در ایمیل های فیشینگ ارسال شده توسط مهاجمان دارای پسوندهای رایجی مانند “.ZIP ، .IMG ، .UDF ، .RTF و .XLS” می باشد که از اینستالر NSIS استفاده می کند.
شاید برای برخی از عزیزان این سوال مطرح شود که NSIS چیست؟
این یک ابزار منبع باز است که توسط Nullsoft برای ایجاد اینستالرهای ویندوز مورد استفاده قرار میگیرد و توسط مایکروسافت پشتیبانی می شود. هکرها از این ابزار برای پوشش و استقرار بدافزاری خود بهره می گیرند.
هکرها از پیوست های مخرب ZIP ، UDF و IMG استفاده می کنند. آنها ابتدا اینستالرهای مخرب NSIS را در اولین زنجیره الودگی مخفی می کنند. در مرحله بعدی برای اینکه کاربران قربانی به راحتی بتوانند اینستالر های مخرب را دانلود کنند از یک سرور مجزا استفاده می کنند. در زنجیره آلودگی دوم هکرها از اسناد مخرب XLS و RTF جهت آلودگی سیستم کاربران قربانی استفاده می کنند.
کارشناسان امنیتی سوفوس در این باره توضیحاتی ارائه داده اند:
“ما دو سناریوی ممکن را در نظر گرفتیم: یا بسته مخرب NSIS یک پکیج مخرب عمومی است که در انجمن های زیرزمینی فروخته می شود. یا همان مهاجمان در حال استفاده از یک Loder سفارشی برای استقرار پیلودهای مختلف در انواع حملات خود هستند. “
اینستالر NSIS برای برقراری ارتباط مؤلفه های نرم افزاری از یک نوع معماری افزونه ای استفاده می کند که امکان حذف پروسه ها، اجرای برنامه های مبتنی بر خط فرمان، دانلود فایل های DLL و موارد دیگر را فراهم می آورد.
اهداف و انگیزه ها
کارشناسان امنیتی به این نتیجه رسیده اند که قصد مهاجمان فقط دستیابی کامل و کنترل سیستم ها به شبکه های سازمان های هدفمند است. علاوه بر این، متخصصان امنیتی مطابق با ایمیل هایی که توسط این کمپین ها ارسال شده، قربانیان هدفمند را دسته بندی کرده اند که عبارتند از:
- تولید کننده تجهیزات برق در کشور رومانی
- یک شرکت مهندسی و خدمات ساخت و ساز در کشور کویت
- یک شرکت اینترنتی در کره جنوبی
- یک شرکت سرمایه گذاری در کره جنوبی
- تولید کننده تأمین قطعات ساختمان در کشور بریتانیا
- انتشار اخبار پزشکی در کره جنوبی
- تولید کننده کابل های برق و ارتباطات در کره جنوبی
- تولید کننده تجهیزات چاپ و نشر در کشور سوئیس
- یک شرکت پیک و حمل و نقل در ژاپن
پیلود نهایی مهاجمان که همه آنها بدافزارهای InfoStealer یا RAT هستند، از پنج نوع مختلف خانواده های بدافزار تشکیل شده اند که توسط شرکت امنیتی سوفوس شناسایی و کشف شده است
- ForeIT/Lokibot
- BetaBot
- Formbook
- AgentTesla
- Netwire
حتی دیگر کارشناسان امنیتی نیز اظهار داشته اند که موج جدید حملات گروه RATikat که در مارس ۲۰۲۰ کشف شده، به وضوح نشان دهنده فریب قربانیان احتمالی در نصب بدافزار روی سیستم ها است، آنها از ترفندها و سوء استفاده هایی مربوط به COVID-19 نیز. بهره می گیرند.
منبع:ایران سایبر
