گروه نفوذ CodeFork پویش غیرقابل شناسایی را برای استخراج مونرو راه‌اندازی می‌کنند

کمیته رکن چهارم – یک گروه از نفوذگران که CodeFork نامیده می‌شوند، یک پویش راه‌اندازی کرده‌اند که از ویژگی‌های آن می‎توان به فرار پیشرفته با پرونده کمتر و روش‌های ماندگاری پیشرفته و همچنین یک ماژول جدید که ارز مونرو را استخراج می‌کند، اشاره کرد.

براساس گزارش گروه تحقیقاتی بدافزار Radware، این گروه از این آلودگی برای فروش خدماتی مانند منتشر کردن هرزنامه‌ها، کرم‌ها و ابزارهای بارگیری و احتمالا دزدی اطلاعاتی استفاده می‌کند.

Radware در یک تحلیل گفت: «CodeFork یک گروه هوشیار است که به طور پنهانی سرمایه‌گذاری می‌کند و معمولا از زیر رادار سامانه‌های دفاعی سنتی مانند سندباکس، پویش‌گرهای ضمیمه رایانامه، IDS/IPS، دروازه‌های امن وب و راه‌حل‌های مختلف حفاظت از نقاط انتهایی، به صورت مخفیانه حرکت می‌کنند. آن‌ها از مزایای سامانه‌ی عامل ویندوز برای فرآیند نصب استفاده می‌کنند و هیچ ردی را روی دیسک جا نمی‌گذارند.»

پویش فعلی، در نهایت یک نسخه سفارشی از بدافزار Gamarue است. Gamarue یک بدافزار ماژول‌بندی شده است که در راه‌اندازی اولیه به عنوان یک ابزار بارگیری عمل می‌کند. با این حال، در آخرین پویش دیده می‌شود که قطعات دیگر کد، برای انجام وظایف مختلف واکشی می‌شود. این شامل یک ماژول آلوده‌کننده یواس‌بی، یک تابع برای ارسال هرزنامه‌ و یک رفتار جدید برای استخراج مونرو است.

علی رغم همه این‌ها، داشتن پرونده کمتر، بدین معنی است که لزوما هیچ پرونده مشکوکی روی دیسک ذخیره نمی‌شود و این به مهاجمان اجازه می‌دهد بدون اینکه شناسایی شوند به مدت طولانی‌تری در ماشین آلوده باقی بمانند. علاوه‌بر این، این پویش همچنین از یک الگوریتم تولید دامنه (DGA) استفاده می‌کند تا برای هر هفته یک دامنه جدید تولید کند.

Radware خاطرنشان کرد: « این روش شناسایی و مسدود کردن ارتباطات خارج از محدوده به کارگزار   دستور و کنترل را برای راه‌حل‌های امنیتی مانند دیواره‌های آتش نسل بعدی (NGFWs) و دروازه‌های وب امن دشوارتر می‌کند. پس از ایجاد دامنه، یک درخواست HTTPS GET برای بارگیری یک پوشه مخرب ارسال می شود که به عنوان خزنده Googlebot شناخته می‌شود. توجه داشته باشید که این احتمالا یک نسخه پشتیبان یا یک طرز کار برای بهینه کردن است، زیرا این بدافزار تلاش می‌کند تا به دامنه‌های ثبت‌نشده و یا به پوشه‌های مخربی که در کارگزار دستور و کنترل وجود ندارند، دسترسی پیدا کند.» Radware گفت: «استفاده از بدافزار Gamarue نقطه تمایز  برای گروه CodeFork بوده است.»

 Radware افزود: «به دلیل تعداد نصب‌ها، همراه با همه‌کاره بودن بدافزار، CodeFork به راحتی می‌تواند با فروختن این بدافزار به نفوذگران دیگر که می‌توانند با توسعه ماژول‌های دلخواه خود این بدافزار را تکمیل کنند، کسب درآمد کند. گروه CodeFork قطعا تلاش خواهد کرد تا ابزارهای خود را توزیع کند و راه‌های جدیدی را برای دور زدن حفاظت‌های فعلی پیدا کند. چنین گروه‌هایی به‌طور مداوم بدافزارها و جهش‌های جدیدی برای دور زدن کنترل‌های امنیتی به وجود می‌آورند.»

منبغ : news.asis

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Red Captcha Characters Below.