کمیته رکن چهارم – یک کمپین گسترده بدافزاری با استفاده از نرمافزارهای امضاشده، هزاران سیستم را در سراسر جهان آلوده کرده است. این ابزارها با دسترسی سطح SYSTEM، اقدام به غیرفعالسازی کامل نرمافزارهای امنیتی میکنند.
به گزارش کمیته رکن چهارم، در این حمله بیش از ۲۳ هزار سیستم در ۱۲۴ کشور هدف قرار گرفتهاند که بخشی از آنها در شبکههای حساس مانند نهادهای دولتی، زیرساختهای انرژی و مراکز آموزشی قرار دارند. این نرمافزارها در ظاهر بهعنوان برنامههای عادی یا ابزارهای مرورگر ارائه شدهاند، اما در عمل از مکانیزم بهروزرسانی برای دریافت و اجرای کدهای مخرب استفاده میکنند.
بررسیها نشان میدهد بدافزار پس از اجرا، با استفاده از اسکریپتهای PowerShell اقدام به توقف سرویسهای امنیتی، حذف آنتیویروسها و ایجاد موانع برای نصب مجدد آنها میکند. همچنین با تغییر فایل hosts، دسترسی به سرورهای شرکتهای امنیتی را مسدود میکند.
در ادامه، این ابزار بهطور مداوم روی سیستم اجرا شده و شرایط را برای کنترل کامل دستگاه توسط مهاجم فراهم میسازد. در برخی موارد نیز زیرساخت بهروزرسانی رها شده و امکان سوءاستفاده توسط سایر مهاجمان را ایجاد کرده است.
پیشینه
استفاده از نرمافزارهای بهظاهر قانونی و امضاشده برای توزیع بدافزار، به یکی از روشهای رو به رشد در حملات سایبری تبدیل شده است. این رویکرد باعث میشود ابزارهای امنیتی و کاربران، تهدید را دیرتر شناسایی کنند.
منبع: BleepingComputer
