کمیته رکن چهارم – بر اساس گزارشات منتشر شده از سوی محققان امنیتی طی چند روز اخیر یک کمپین مخرب جدید از اسناد مایکروسافت Word شناسایی شده که در آن مهاجمان سایبری با استفاده از آلوده کردن اسناد مایکروسافت به بدافزار PoetRAT و توزیع آن روی دستگاه های کاربران بخش های دولتی و انرژی اقدام به ایجاد فرآیند دسترسی از راه دور می کنند.
طبق نظرات کارشناسان امنیتی Cisco Talos، توزیع بدافزارها با نام کشور آذربایجان در بخش های دولتی و بخش انرژی مشاهده شده که به دیگر کشورها هم ارسال می گردد. در این کمپین مهاجمان از روند رو به روشد ویروس COVID-19 بسیار هدفمند بهره برداری کرده در درجه اول بخش های دولتی (عمومی و نیمه خصوصی) و در درجه دوم سیستم های SCADA را هدف قرار می دهند.
بدافزار PoetRAT مبتنی بر پایتون
این RAT به هکرها کمک می کند تا کنترل خود را بر روی رایانه حفظ کرده و داده های حساس را تفکیک کنند. PoetRAT دارای ابزاری برای نظارت خودکار بر هارد دیسک و داده ها است و از ویژگی های بارز آن می توان جاسوسی بر روی کیبوردها، سرقت رمز عبور های داخل مرورگر، برنامه های کنترل دوربین و سایر سرقت های رمز عبور عمومی نام برد.
در کمپین دیگر این بدافزار، اسناد بررسی شده شامل آمارهای واقعی از ویروس Corona است که پس از باز کردن سند از URL ، فایل دانلود شده و روی سیستم کاربر ذخیره می شود.
“hxxps: // gov-az [.] herokuapp [.] com / content / Azerbaijan_ Special [.] doc”
محققان اظهار داشتند که در هر دو کمپین مسئله اصلی “سند مایکروسافت Word” بوده و روند آلوده سازی این سند بسیار ابتکاری است. پس از دانلود، سند مایکروسافت Word در مموری اجرا می شود. پس از آن، ۷،۰۷۴،۶۳۸ بایت را از انتهای پرونده کپی کرده و بایت های باقی مانده را دوباره بر روی دیسک می نویسد.
فایل zip دانلود شده “smile.zip” حاوی مفسر پایتون و اسکریپت پایتون است که در واقع همان RAT می باشد.
در طول پروسه حملات، مهاجمان ابزارهای دیگری نیز در اختیار داشتند که شامل:
Dog – برای دانلود مجدد داده ها از طریق یک حساب ایمیل یا FTP
Bewmac – برای رکورد جلسه وب کم
Klog.exe – یک keylogger
Browdec.exe – سرقت اعتبارات مرورگر
voStro.exe – سرقت اعتبار
Tre.py – اسکریپت برای ایجاد فایلها / فهرست های اضافی
WinPwnage – چارچوب منبع باز جهت افزایش امتیاز دسترسی
Nmap – ابزار اسکن شبکه منبع باز
منبع:ایران سایبر