کمیته رکن چهارم – یک گروه جاسوسیِ سایبری منتسب به چین، با بدافزارها و روشهای جدید، سامانههای نظامی و هوافضا در کشورهای روسیه و بلاروس را هدف قرار داده است.
به گزارش کمیته رکن چهارم،در تیر ماه سال جاری، محققان گروه پروفپوینت گزارش دادند که مهاجمانِ این گروه با استفاده از تروجانِ پیشرفتهی NetTraveler روسیه و سایر کشورهای همسایه را هدف قرار دادهاند. اینک محققان کشف کردند که این گروه جاسوسی همزمان از بارگیریکنندهای به نام ZeroT و کامپایلر کمکی HTML متعلق به شرکت مایکروسافت (chm.) برای توزیع بدافزار PlugX استفاده میکند.
مهاجمان پروندهی chm. را برای قربانیان ارسال میکنند که حاوی پروندهی HTML و یک پروندهی اجرایی دیگر است. زمانی که پروندهی کمکی HTML باز شود، یک متن به زبان روسی نمایش داده شده و از کاربر خواسته میشود از طریق کنترل حساب کاربری (UAC) اجازهی اجرای برنامهی ناشناختهای را صادر کند. اگر قربانی با این درخواست موافقت کند، بارگیریکنندهی ZeroT بر روی سامانهی قربانی نصب خواهد شد.
مشابه حملات قبلی، این گروه جاسوسی از اسناد ورد جعلی نیز استفاده میکنند. این اسناد توسط ابزار تولیدکنندهی بهرهبرداری با نام MNKit ایجاد میشود. این ابزار به محققان کمک کرده تا ارتباط بین چند گروه نفوذ و جاسوسی را کشف کنند که ممکن است خارج از کشور چین باشند.
رایانامهها و پروندههای جعلی که در این حملات از آنها استفاده میشود، به کشورهای مستقل مشترکالمنافع ارجاع داده میشود که اتحادیهای از جماهیر شوروی سابق، دولت روسیه و وزارت دفاع روسیه است.
این گروه جاسوسی همچنین برای توزیع ZeroT از ویژگی خود-استخراجی پروندههای آرشیوی RAR استفاده میکند. در بسیاری از پروندههای آرشیوی یک پروندهی اجرایی با نام Go.exe وجود دارد که برای دور زدن کنترل حساب کاربری (UAC) در ویندوز بهکار میرود.
پس از آلوده شدن سامانهی قربانی، بارگیریکنندهی ZeroT با کارگزار دستور و کنترل ارتباط برقرار میکند و اطلاعاتی در مورد سامانهی آلوده را بر روی این کارگزار بارگذاری میکند. بارگیریکنندهی ZeroT در ادامه یک نسخهی شناساییشده از تروجان PlugX را بارگیری میکند. این تروجان یا در قالب یک بار دادهی کدگذارینشده و یا در قالب یک پروندهی تصویری با فرمت bmp. بارگیری میشود. در این پروندهی تصویری با استفاده از روشهای نهاننگاری، بدافزار مورد نظر مخفی شده است.
محققان پروفپوینت اعلام کردند دامنههای متعلق به کارگزار دستور و کنترل ZeroT، قبلاً در حملات NetTraveler نیز مشاهده شده است. در نمونههای تروجان PlugX دامنههایی دیده شده که در پویشهای سال ۲۰۱۵ مشاهده شده بود. محققان پروفپوینت اشاره کردند این گروه جاسوسیِ چینی به احتمال زیاد گسترهی حملات خود را به کشورهای روسیه و اروپا افزایش خواهد داد.
asis.io
