دست‌درازی چینی‌ها به اطلاعات حساس سازمان‌ها

کمیته رکن چهارم – هکرهای چینی با استفاده از یک بدافزار اقدام به سرقت اطلاعات حساس سازمان‌ها می‌کنند.

هکرهای چینی (MQsTTang-A) با دسترسی به فایل‌های دارای رفتار معیوب قصد سرقت اطلاعات حساس را از سازمان‌های هدف دارند.

جزئیات آسیب‌پذیری

Av، یک نوع پیشرفته‌ از فناوری تشخیص ویروس می‌باشدکه فایل‌هایی که رفتار معیوب و مشکوک دارند را با استفاده از این فناوری شناسایی می‌کنند.

یک گروه از هکر‌های چینی (MQsTTang) با استفاده از این فناوری (AV) بدافزاری طراحی کرده اند که فایل‌های معیوب را شناسایی و شرایط دسترسی به اطلاعات حساس سازمان‌های مختلف را ایجاد کرده اند .این گروه با تمرکز اولیه بر تایوان و اوکراین , انتخابات در حال انجام دولت و سازمان‌های سیاسی در اروپا و آسیا را مورد هدف قرار داده است.

ایمیل‌های Spear – phishing (فیشینگ هدفمند) فایل‌های معیوب ارجح برای فعالیت این بدافزار هستند.

عملکرد این بدافزار براساس گزارش ESET , MQsTTang بدین صورت است که این بد افزار قابلیت‌های اجرای فرمان از راه دور را در کامپیوتر قربانی فراهم می‌کند و پس از اجرای فرمان ،خود را در کامپیوتر قربانی کپی می‌کند و با ایجاد یک کلید رجیستری جدید در مسیر زیرشرایط را برای فعال سازی بدافزار هنگام راه‌اندازی سیستم به وجود می‌آورد:

HKCUSoftwareMicrosoftWindowsCurrentVersionRun

  • این بدافزار دارای توانایی ذاتی برای مقاومت در برابر شناسایی توسط مدافعان است.

بدافزار MQsTTang برای شناسایی نشدن، از مکانیزمی‌برای تشخیص ابزارهای عیب یابی یا نظارت بر روی سیستم میزبان استفاده می‌کند. اگر چنین ابزارهایی شناسایی شوند، بدافزار رفتار خود را برای جلوگیری از شناسایی با آن ابزار تطبیق می‌دهد.

  • این بدافزار از پروتکل MQTT برای تسهیل ارتباط بین سرور فرمان و کنترل استفاده می‌کند.

پروتکل: MQTT پروتکل MQTT یک پروتکل ساده است که بر روی بستر TCP/IP سوار شده است و انتقال اطلاعات را بر اساس Socket انجام می‌دهد، هدر‌های مورد استفاده در MQTT حجم خیلی کمی‌دارند و این امر باعث کاهش حجم ترافیک در تبادلات شده و هم چنین باعث سادگی پروتکل می‌شود

  • ارتباط از طریق یک کارگزار را تسهیل می‌کند و زیرساخت مهاجم را پنهان نگه می‌دارد.

توصیه‌های امنیتی

ماهیت حملات Spear Phishing به گونه‌ای است که شناسایی آنها بسیار دشوار است و متأسفانه هیچ ابزار و روش فنی کامل و کارآمدی برای توقف وجود ندارد.

بهترین روش دفاع در برابر حملات فیشینگ هدفمند، استفاده از خرد انسانی است و اینکه سازمان‌ها برای حفاظت بهتر باید زیرساخت‌های امنیتی عمیق (مانند احراز هویت دوعاملی (۲FA) و سیاست‌های مربوط به مدیریت پسوردها) در مقابل این بدافزار داشته باشند .

همچنین به کاربران توصیه می‌شود برای مقابله با این بدافزار از ضد بدافزار به‌روزشده استفاده کنند.

منبع : مرکز ماهر

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.