آخرین اخبار
صفحه اصلی
اخبار

هشدار مایکروسافت درباره بدافزار در قالب VPN سازمانی

تاریخ:
در: اخبار, امنیت سایبری
دیدگاهتان را بنویسید:
44 نمایش ها

کمیته رکن چهارم – پژوهشگران Microsoft Threat Intelligence از شناسایی یک کمپین سایبری خبر داده‌اند که در آن بازیگر تهدیدی با نام Storm-2561 اقدام به توزیع کلاینت‌های جعلی VPN سازمانی برای سرقت اعتبارنامه‌های کاربران می‌کند.

به گزارش کمیته رکن چهارم، مهاجمان در این کمپین از تکنیک SEO Poisoning برای دستکاری نتایج موتورهای جستجو استفاده می‌کنند. در این روش، زمانی که کاربران عباراتی مانند “Pulse VPN download” یا “Pulse Secure client” را جستجو می‌کنند، به وب‌سایت‌های جعلی هدایت می‌شوند که بسیار شبیه سایت رسمی شرکت‌های ارائه‌دهنده VPN هستند.

دامنه‌های مورد استفاده در این حمله شباهت زیادی به برندهای شناخته‌شده‌ای مانند Ivanti، Cisco، Fortinet، Sophos، SonicWall، Check Point و WatchGuard دارند.

در یکی از نمونه‌های بررسی‌شده، سایت جعلی کاربران را به یک مخزن GitHub هدایت می‌کرد که شامل یک فایل ZIP با یک MSI installer جعلی برای کلاینت VPN بود. پس از اجرای این فایل، برنامه‌ای به نام Pulse.exe در مسیر زیر نصب می‌شد:

%CommonFiles%\Pulse Secure

همزمان دو فایل مخرب نیز روی سیستم قرار می‌گرفت:

  • dwmapi.dll به‌عنوان loader

  • inspector.dll که نسخه‌ای از بدافزار Hyrax infostealer است

پس از نصب، کلاینت جعلی یک صفحه ورود کاملاً مشابه نسخه واقعی نمایش می‌دهد و از کاربر می‌خواهد نام کاربری و رمز عبور VPN خود را وارد کند. این اطلاعات به سرورهای مهاجم ارسال می‌شود و بدافزار همچنین فایل پیکربندی VPN با نام connectionsstore.dat را نیز سرقت می‌کند.

در این کمپین، بدافزار با یک گواهی دیجیتال معتبر متعلق به شرکت Taiyuan Lihua Near Information Technology Co., Ltd. امضا شده بود که اکنون لغو شده است. استفاده از این امضای دیجیتال باعث می‌شد فایل مخرب کمتر مشکوک به نظر برسد.

برای کاهش احتمال شک قربانی، پس از سرقت اطلاعات، برنامه یک خطای نصب جعلی نمایش می‌دهد و سپس کاربر را به وب‌سایت واقعی ارائه‌دهنده VPN هدایت می‌کند. در نتیجه کاربر تصور می‌کند مشکل تنها یک خطای فنی بوده است.

در پس‌زمینه، بدافزار برای حفظ پایداری (Persistence) در سیستم، یک کلید در رجیستری ویندوز در مسیر RunOnce ایجاد می‌کند تا برنامه Pulse.exe پس از هر بار راه‌اندازی مجدد سیستم اجرا شود.

مایکروسافت برای کاهش خطر این حملات توصیه کرده است که سازمان‌ها Cloud-Delivered Protection در Microsoft Defender را فعال کنند، از EDR در حالت Block Mode استفاده کنند، احراز هویت چندمرحله‌ای (MFA) را فعال کنند و از مرورگرهایی با قابلیت SmartScreen استفاده کنند.

منبع: BleepingComputer

برچسب ها:

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.