جاسوسان چینی، بدافزار جدیدی را از طریق فایل‌های کنترل‌پنل ویندوز توزیع می‌کنند

یک گروه جاسوس سایبری وابسته به چین که احتمالاً از اوایل سال ۲۰۱۰ میلادی فعال است، یک بدافزار جدید را توسعه داده که در حملات بسیار هدفمندی که در طول سال گذشته راه اندازی شد، استفاده شده است. این بدافزار جدید با نام Reaver، توسط محققان تجزیه و تحلیل شد. آخرین بار داده ی مخرب این بدافزار با استفاده از فایل های کنترل پنل ویندوز (CPL) بارگذاری می شود که بسیار غیرمعمول است و محققان گفتند که تنها ۰٫۰۰۶ درصد بدافزارها از این روش استفاده می کنند. موجی از بدافزارهای کنترل ‌پنل در سال ۲۰۱۳ و ۲۰۱۴ میلادی در برزیل مشاهده شد، که مجرمان سایبری از آن برای توزیع تروجان های بانکی استفاده می کردند. 


با توجه به زیرساخت‌هایی استفاده شده، کارشناسان Reaver را به SunOrcal ربط داده‌اند. این بدافزار توسط عاملان تهدید در چین و در حملاتی که انتخابات ریاست جمهوری تایوان در ماه ژانویه سال ۲۰۱۶ میلادی را هدف قرار داد، مورد استفاده قرار گرفت. گروهی که پشت SunOrcal است از Surtr RAT استفاده می‌کند که آن هم با تولیدکننده‌ی اسناد مخرب به نام HomeKit و Four Element Sword مرتبط است.


این عامل تهدید حداقل از سال ۲۰۱۳ وجود داشته اما برخی از شواهد نشان می‌دهد که ممکن است از اوایل سال ۲۰۱۰ فعال بوده باشند. این بدافزار از ابزار کنترل پنل ویندوز، control.exe سوء‌استفاده می‌کند تا بار داده‌ی مخرب Reaver را بارگذاری کند. اولین نسخه‌ی تهدید از HTTP برای ارتباطات استفاده می‌کند، در حالی که نسخه‌ی جدیدتر متکی به  استفاده از  TCP است.


هنگامی که این بدافزار یک دستگاه را آلوده می‌کند، می‌تواند به اپراتورهای خود کمک کند تا اطلاعاتی در مورد سیستم قربانی، از جمله سرعت CPU، نام کامپیوتر، نام کاربری، آدرس آی‌پی، اطلاعات حافظه و نسخه‌ی ویندوز جمع‌آوری کنند. این بدافزار همچنین می‌تواند فایل‌ها را بخواند و در آن‌ها بنویسد، فایل‌ها و رجیستری‌ها را تغییر دهد، فرآیندها را ایجاد کند و خاتمه دهد و سرویس‌ها را تغییر دهد. نفوذگران در اواخر سال ۲۰۱۶ میلادی در کنار SunOrcal استفاده از Reaver را نیز آغاز کردند. هردوی این بدافزارها در حملات اخیر ماه نوامبر سال ۲۰۱۷ میلادی دیده شده‌اند.

 

منبع

پست‌های مشابه

Leave a Comment

4 × 4 =