کمیته رکن چهارم – محققان امنیتی گروه نفوذ جدیدی با نام FIN۷ را شناسایی کردند که از روشهای جدید فیشینگ بهره میبرد. این گروه در حملات فیشینگ از پروندههای میانبر مخفی (پروندههای LNK) استفاده میکنند. این گروه با انگیزههای مالی از سال ۲۰۱۵ میلادی فعال بوده است و اخیراً اهداف در سازمانهای بورس و اوراق بهادار آمریکا را با دربِ پشتی پاورشِل به نام POWERSOURCE هدف قرار داده است.
به گزارش کمیته رکن چهارم،در حالیکه بسیاری از محققان امنیتی این فعالیتها را به گروه Carbanak نسبت میدهند، فایرآی میگوید این عملیات از طرف گروه دیگری با نام FIN۷ انجام شده است. جالب است که حملات بدون پروندهی اخیر که این گروه انجام داده و گفته میشود این حملات با استفاده از چارچوبی انجام شده که قبلاً حملاتی غیرمرتبط با این گروه را انجام داده بود.
در پویش جدیدی که توسط گروه نفوذ FIN۷ انجام شده، مهاجمان دیگر از پروندههای ماکروی مخرب موجود در اسناد مایکروسافت برای دور زدن تشخیص استفاده نمیکنند اما به پروندههای میانبر مخفی به عنوان بردار حملهی اولیه متمایل شدهاند. این گروه همچنین از یک اسکریپت ویژوال بیسیک برای اجرای mshta.exe و آلوده کردن دستگاه قربانی استفاده میکنند.
در پویش فیشینگ این گروه، در رایانامههای فیشینگ از پروندههای DOCX و RTF استفاده میشود که هرکدام نوع متفاوتی از پروندههای LNK و اسکریپتهای ویژوال بیسیک هستند. این حملات مکانهای مختلفی مانند رستورانهای زنجیرهای، مهمانداریها و سازمانهای خدمات مالی را با رایانامههایی با مضمونهای شکایت، سفارشات غذا و یا رزومه هدف قرار داده است. پروندههای موجود در رایانامهها تلاش میکنند تا کاربر را متقاعد کنند که بر روی تصویر آنها کلیک کند. زمانیکه کاربر کلیک را انجام داد، پروندهی مخرب و مخفی LNK، سند mshta.exe را با آرگومانهای مشخصی اجرا میکند.
محققان امنیتی اشاره کردند: «استفاده از این روش برای حملات فیشینگ بسیار مؤثر است چرا که محتوای مخرب بهجای قرار داشتن در یک شیء OLE در محتوای سند تعبیه شده است. با استفاده از این روش منحصربفرد برای تعامل با کاربر، یعنی کلیک کردن بر روی سند، جعبهی شنی و روشهای تشخیص دور زده میشوند چرا که حالتی از رفتار عادی کاربر شبیهسازی میشود.» در ادامه یک اسکریپت مبهم و چندلایهای پاورشِل بر روی سامانه نصب و اجرا میشود که در مرحلهی بعدی شِلکد Cobalt Strike را اجرا میکند. محققان کشف کردند این شِلکد با استفاده از پروتکل DNS به یک کارگزار دستور و کنترل مشخص متصل شده و بار دادهی مخرب دیگری را بارگیری میکند.
در این پویش مشاهده شده که از نسخهی دربِ پشتی HALFBAKED نیز استفاده میشود. این دربِ پشتی قادر است باتوجه به دستوراتی که از کارگزار دستور و کنترل دریافت کرده، عملیات مختلفی را انجام دهد. این عملیات عبارتند از ارسال اطلاعات سامانهی قربانی با استفاده از پرسوجوهای VMI، گرفتن اسکرینشات از ماشین قربانی، اجرای اسکریپتهای پاورشِل، ویژوال بیسیک و پروندههای اجرایی و حذف و بهروزرسانی پروندههای مشخص. در یکی از این پروندههای LNK که توسط این گروه نفوذ مورد استفاده قرار گرفته، اطلاعات مشخصی از مهاجمان بدست آمده است. به نظر میرسد این پرونده در داخل یک ماشین مجازی با نام میزبان andy-pc در تاریخ ۲۱ مارس سال ۲۰۱۷ ایجاد شده است.
منبع:
