کمیته رکن چهارم – نفوذگرانی که احتمالاً دست آنها با دولت روسیه در یک کاسه است، یک دامنهی بنیاد مرز الکترونیک ساختگی۱ را در ابتدای این ماه به ثبت رساندهاند تا کاربران را فریب دهند که مکاتبات ارسالی از سوی این وبگاه متعلق به یک دیدهبان معروفِ حفظ حریم خصوصی میباشد.
به گزارش کمیته رکن چهارم،به نظر میرسد این طرح، که تا حد زیادی از طریق اسپیرفیشینگ اجرا میشود، بخشی از یک کمپین بزرگتر است که پیشتر تحت عنوان Pawn Storm از آن یاد میشد.
دامنهی جعلی electronicfrontierfoundation.org، بیش از سه هفته پیش به ثبت رسیده و به سرعت به عنوان بخشی از یک حمله به همراه یک آسیبپذیری تازه وصلهشدهی روز-صفرم جاوا استفاده شده است.
اوراکل این آسیبپذیری را به همراه ۲۰۰ نقص دیگر اصلاح کرده است، اما به نظر میرسد این وصله نتوانسته سد راه گروه نفوذگر APT ۲۸ شود.
رایانامههای فیشینگ به مقاصدی ارسال شدهاند که دارای پیوندهایی به وبگاه مخرب و جعلی EFF بودهاند. هنگامی که روی این پیوندها کلیک شود، وبگاه کاربر را به صفحهی دیگری در آن وبگاه جعلی هدایت میکند که حاوی یک اپلت یا برنامکِ جاوا است. با فرض اینکه کاربر قربانی یک نسخهی قدیمی و منسوخ و آسیبپذیر جاوا را اجرا کند، سامانهاش مورد نفوذ قرار میگیرد و مهاجم کنترل دستگاه وی را در دست میگیرد.
به این ترتیب نفوذگر به واسطهی کد نفوذی جاوااسکریپت میتواند هر کدی را در دستگاه کاربر به اجرا درآورد، یک محتوای مخرب ثانویه را بارگیری کند، محتوایی که یک برنامهی باینری برای اجرا در رایانهی هدف است.
EFF بر این باور است که مسیر و نام پروندهی استفادهشده در این کد نفوذی مشابه مواردی هستند که در حملات دیگری همچون Sednit با هدایتِ Pawn Storm به کار گرفته شدهاند.
محتوای مخرب Sednit منجر به بارگیری یک پروندهی DLL. میشود، این پرونده باعث اجرا و باز شدن یک در پشتی به سوی چندین دامنهی تحت کنترل نفوذگران میشود که اطلاعات را پالایش مینماید.
منبع:رسانه خبری امنیت اطلاعات
