مهاجمان سایبری در حملات DNSMessenger از سرورهای دولتی استفاده می‌کنند

مهاجمان سایبری در حملات DNSMessenger از سرورهای دولتی استفاده می‌کنند

جمعه, ۲۱ مهر, ۱۳۹۶ ساعت ۱۲:۴۸

 

پویش جدیدی با نام DNSMessenger کشف شده که از سرورهای آلوده ی دولت آمریکا برای میزبانی بدافزارها سوءاستفاده می کند. این پویش که تا اوایل ماه مارس شناسایی نشده بود از درخواست های DNS برای برقراری ارتباط بین بدافزار و سرور دستور و کنترل استفاده می کرد. این پویش کاملا بدون فایل بوده و برای بسیاری از راه کارهای امنیتی، ناشناخته باقی می ماند و محققان آن را جزو حملات بسیار مهم و جدی طبقه بندی کرده اند.


سیسکو اخیرا اعلام کرده حملات بیشتری را شناسایی کرده که از این بدافزار استفاده می کنند و سازمان های مختلفی را برای آلوده کردن به بدافزار هدف قرار داده اند. در این پویش ها از رکوردهای DNS TXT برای ایجاد کانال دستور و کنترل دوطرفه‌ و ارتباط مستقیم با پردازنده ی دستورات ویندوز استفاده می شود.


مهاجمان سایبری برای توزیع بدافزار از ایمیل‌های فیشینگ استفاده کرده و در مرحله‌ی دوم از حملات خود، برای میزبانی کدهای مخرب از سرورهای آلوده‌ی دولت آمریکا استفاده می‌کنند. در ماه مارس این حملات شناسایی شد که سازمان‌هایی در آمریکا را هدف قرار داده بود و به یک گروه نفوذ با نام FIN7 نسبت داده شد. در ادامه در پویش DNSMessenger مشاهده شد از یک چارچوب دیگری نیز استفاده می‌شود و این عملیات همگی به یک گروه واحد نسبت داده شد.


محققان می‌گویند حملات بدافزاری که اخیرا مشاهده شده، مشابه حملاتی است که در پویش DNSMessenger وجود داشت. این حملات بسیار هدفمند هستند و مهاجمان از روش‌های مختلف مبهم‌سازی استفاده می‌کنند. همچنین فرآیند آلودگی به این بدافزار از چندین مرحله تشکیل شده است. در این ایمیل‌های فیشینگ، از اسناد مخرب مایکروسافت ورد استفاده شده که باید برای اجرای کدهای مخرب از تبادل داده‌ی پویا (DDE) استفاده شود. زمانی که این فایل‌ها باز می‌شود از کاربر خواسته می‌شود تا اجازه‌ی بازیابی محتوا از لینک‌های خارجی را صادر کند.


در اسناد مخرب از فیلد DDEAUTO برای بازیابی اولیه‌ی کدهای مخرب از یک وب‌سایت مخرب که در لوئیزیانا میزبانی می‌شود، استفاده شده است. کدهایی که دانلود شد با استفاده از پاورشِل اجرا شده و مسئول حفظ ماندگاری در سیستم و دانلود مراحل بعدی بدافزار است. مرحله‌ی بعدی از آلودگی بسیار شدید مبهم‌سازی شده و با سرور دستور و کنترل ارتباط برقرار کرده و کدها و دستورات را در قالب DNS دریافت می‌کند. زمانی‌که این مرحله کامل شد، رشته‌ی حاصل دی‌کد شده و از حالت فشرده خارج می‌شود و برای اجرا شدن به پاورشِل تحویل داده می‌شود.


محققان امنیتی نتوانستند مرحله‌ی بعدی آلودگی و کدهای آن را از سرور دستور و کنترل بدست بیاورند. به نظر می‌رسد مهاجمان در این حملات هدفمند، دسترسی به سرور دستور و کنترل را بسیار محدود کرده‌اند.کدهای مرحله‌ی ۴ که توسط دیگر محققان کشف شده، رکوردهای دیگری از DNS است که برای ارسال دستورات و خارج کردن داده‌ها از سیستم قربانی در قالب یک فرم وب مورد استفاده قرار می‌گیرد. 
 

منبع


پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

5 × پنج =