کمیته رکن چهارم – گروه نفوذگر Shrouded Crossbow، که از سال ۲۰۱۰ عمدتاً شرکتهای آسیایی فعال در صنایع حساس را هدف قرار می داده، از گونه ارتقا یافته یک بدافزار قدیمی از نوع درب پشتی (Backdoor) با نام Bifrose برای اجرای حملات خود استفاده می کرده است.
به گزارش کمیته رکن چهارم،در گذشته، Bifrose، که تاریخ پیدایش آن به سال ۲۰۰۴ باز می گردد، در بازارهای زیرزمینی نفوذگران با مبلغ حدود ۱۰ هزار دلار فروخته می شد.
محققان Trend Micro بر این باورند که این گروه از نفوذگران کد Bifrose را خریداری کرده و بعد از بهبود توابع آن، گونه ای تکامل یافته و البته متفاوت از آن را ایجاد نموده اند.
در حالی که Bifrose بدافزاری شناخته شده برای ضدویروس ها بوده است این تغییرات، نفوذگران را قادر کرده تا از طریق گونه جدید برای مدتهای طولانی بر روی اهداف خود سیطره داشته باشند.
به گزارش شرکت مهندسی شبکه گستر به نقل از شرکت ضدویروس Trend Micro، گروه Shrouded Crossbow، از دو و شاید سه تیم تشکیل شده است. تیم نخست برنامه نویسانی هستند که بر اساس شناسه های نمونه های بررسی شده تعداد آنها حداقل ۱۰ نفر تخمین زده می شود.
تیم دوم مسئول یافتن راهی برای نفوذ به شبکه هدف است. برای این منظور اعضای این تیم، با ارسال ایمیل های فیشینگ در قالب گزارش خبری، رزومه، داده های دولتی یا درخواست جلسه سعی در فریب کاربران مورد نظر برای اجرای فایل مخرب پیوست شده به ایمیل داشته اند. همچنین این افراد با سوءاستفاده از امکان Unicode برای زبانهای راست به چپ، نظیر فارسی و عربی، بدون تغییر در ماهیت فایل، پسوند بدافزار پیوست شده را به صورت DOC یا RAR نمایش می داده اند.
احتمالاً تیمی دیگر نیز مدیریت مجموعه ۱۰۰ سرور فرماندهی این گروه را بر عهده داشته است. نشانی های IP و دامنه های این سرورها طبق الگویی خاص به روز می شده اند.
فعالیت های این گروه مؤید این موضوع است که اجرای حملات پیشرفته سایبری همیشه مستلزم داشتن بودجه عظیم، استفاده از بهره جوهای روز صفر (Zero-Day Exploit) و بدافزارهای جدید نبوده و با اعمال تغییراتی بر روی ابزارهای نفوذ قدیمی هم می توان حملاتی موفق را اجرا کرد.
منبع:شرکت ضدویروس Trend Micro
