نفوذگران CCleaner، شرکت‌های بزرگ فناوری را با بدفزار مرحله‌ی دوم هدف قرار داده‌اند

 

گروه نفوذی که اخیرا زنجیره ی تامین نرم افزار CCleaner را با بدافزار آلوده کرده بودند، حداقل ۲۰ شرکت فناوری مهم را با بدافزار ثانویه ی خود هدف قرار داده اند. وقتی محققان در وهله ی اول آلودگی این نرم افزار را بررسی کردند، متوجه وجود بار داده ی ثانویه نشدند چرا که هیچ یک از قربانیان هنوز با بدافزار ثانویه تحت تاثیر قرار نگرفته بودند. 


محققان امنیتی سیسکو تالوس که سرور دستور و کنترل این بدافزار اولیه را مورد بررسی قرار دادند، یک ماژول درب پشتی سبک وزن را با نام GeeSetup_x86.dll کشف کردند که قرار بود به ماشین های خاصی که در برخی شرکت ها و سازمان ها مورد استفاده قرار می گیرد، تحویل داده شوند.


فهرست سازمان‌هایی که هدف قرار گرفته‌اند طولانی بوده و عبارتند از: گوگل، مایکروسافت، سیکسو، اینتل، سامسونگ، سونی، اچ‌تی‌سی، Linksys، دی‌لینک، Akamai و Vmware. با بررسی بر روی سرور دستور و کنترل مشخص شد که ۷۰۰ هزار ماشین با نسخه‌ی آلوده‌ی CCleaner تحت تاثیر قرار گرفته‌اند و حداقل ۲۰ ماشین نیز با بدافزار مرحله‌ی دوم آلوده شده‌اند. 


ماشین‌هایی که با بدافزار ثانویه آلوده شده‌اند با نام دامنه، آدرس IP و نام میزبان هدف قرار گرفته و این موضوع را به ذهن متبادر می‌کند که مهاجمان تنها سعی داشتند یک عملیات جاسوسی صنعتی را اجرا کنند. محققان سیسکو تالوس اعلام کردند که بر روی سرور دستور و کنترل این بدافزار، منطقه‌ی زمانی بر روی چین تنظیم شده و به نظر می‌رسد نفوذگران چینی پشت حملات CCleaner بوده‌اند. به گفته‌ی محققان کسپرسکی، کد مخربی که در حمله‌ی CCleaner مورد استفاده قرار گرفته، مشابه ابزاری نفوذی است که گروه نفوذ APT17 مورد استفاده قرار می‌دهند.
 

منبع

پست‌های مشابه

Leave a Comment