کمیته رکن چهارم – محققان یک تروجان جدید دسترسی از راه دور یا همان موش را کشف کردهاند که میتواند از تحلیل سندباکس فرار کند، این بدافزار در انجام جاسوسی ماهر بوده و برای عملیاتهای تهدید هدف مورد استفاده قرار میگیرد.
به گزارش کمیته رکن چهارم ،این بدافزار با نام Trochilus بخشی از یک عملیات چندجانبهی بدافزاری بود که پژوهشگران شبکه آربور آن را خنجر هفتلبه یا هفت خنجر اشاره مینامند. علاوه بر این، این دسته شامل نرمافزارهای مخربی چون PlugX، در ۹۰۰۲ ۳۱۰۲ نوع (موش) و EvilGrab میشود و جزء مجموعه ابزار اولیهی گروهی از مهاجمان است که از سوی پژوهشگران Talos نامیده گروه به سیسکو نام گروه ۲۷ خوانده میشوند.
پژوهشگران تیم امنیت و پاسخگویی ، نمونههای اولیهی این گروه، به نام PlugX را در تابستان گذشته کشف کردند، اما در ماه اکتبر تصادفا بدافزارهایی جدید را که شامل Trochilus نیز میشدند، کشف کردند. همچون بدافزار تابستان گذشته، آخرین بدافزار این گروه در وبگاهی مرتبط با انتخابات سال ۲۰۱۵ در کشور میانمار در جنوب شرقی آسیا یافت شد.
بر طبق گزارشی که روز دوشنبه منتشر شده است این بدافزار رد زیادی از خود بر جای نمیگذارد، و برای فرار از کشف شدن مهارت دارد.
در این گزارش آمده است: «به نظر میرسد که تنها در حافظه اجرا میشود و هیچ ردی از خود در دیسک باقی نمیگذارد، به جز در قالب پروندههای کدگذاری شده که به خودی خود اجرا نمیشود و در برابر فرآیند تشخیص و تحلیل بدافزارهای مخرب ایستا مقاوم است.
»جزییات پرونده توضیحی در مورد موش نشان میدهد که قابلیتهای این بدافزار کامل است، و شامل عملکردهایی نظیر بسط شل کد، حذف از راه دور، یک مدیریت پرونده، بارگیری و اجرا و بارگذاری و اجرا میشود. شبکه های تاکستان مسئولان میگویند که این بدافزار به سمت اهداف خود به صورت جانبی حرکت میکند تا دسترسی راهبردی بیشتری پیدا کند.
این حملات وبگاه اتحادیهی کمیسیون انتخابات میانمار را گرفتار کرده و تا حد زیادی از انتخابات عمومی این کشور در ماه نوامبر نشأت میگیرد، که اولین انتخاباتی بعد از سال ۲۰۱۱ است که در آن یک دولت مردمی به قدرت میرسد.
در حالیکه در میانمار دو ماه است که از انتخابات گذشته است، این کشور هنوز هم در یک دورهی گذار سیاسی قرار دارد، و بخشی از دلیل آن این است که مدیران تاکستان شبکه مؤسسهی به افراد هشدار میدهند که هنگامی که یک رایانامهی مشکوک به دست آنها میرسد مراقب باز کردن آن باشند. محققان هشدار دادهاند که Trochilus و دیگر گونههای این نرمافزار مخرب اساسا در خوشهی بدافزارهایی قرار دارند که از طریق پیوستهای پروندههایی همچون .RAR گسترش مییابند و هر نوع سازمان سیاسی به ویژه آن دسته که به برنامهی توسعهی سازمان ملل در میانمار مربوط هستند میتوانند مورد هدف آن قرار گیرند.
سال گذشته نیز چندین دسته از این نوع بدافزارها، اهداف مشابهی را مورد هدف قرار داده بودند. PlugX پروندههای فشردهی مخرب را در حملات فیشینگ خود به سازمانهای غیردولتی زیستمحیطی که در جنوب شرقی آسیا فعالیت میکردند، ارسال کرده است. کارشناسان معتقدند که هر دو حمله ویژگیهای مشترکی را ارائه میکردند، هر دو مورد این حملات هدف خود را بر گروههای پراکندهی تبتی متمرکز کرده بودند.
منبع: threatpost / asis.io
