نفوذگران گروه FIN7 از یک بدافزار جدید در حملات خود استفاده می‌کنند!

نفوذگران گروه FIN7 از یک بدافزار جدید در حملات خود استفاده می‌کنند!

چهار شنبه, 27 مارس, 2019 ساعت 10:06

به گزارش محققان امنیتی فلش‌پوینت، نفوذگران گروه FIN7 در پویش اخیر خود از یک نمونه‌ی بدافزاری جدید برای انگیزه‌های مالی استفاده کرده‌اند. طبق ادعای وزارت دادگستری آمریکا، این گروه که از سال ۲۰۱۵ میلادی فعالیت خود را آغاز کرده است، به‌منظور سرقت اطلاعات کارت‌های اعتباری، کسب‌وکارهای سراسر جهان از جمله بیش از ۱۰۰ شرکت آمریکایی، اغلب در بخش‌های رستوران، بازی و هتل‌ها را مورد هدف قرار داده است. به گفته‌ی فلش‌پوینت، سه تن از اتباع اوکراینی که سال گذشته به اتهام سرقت اطلاعات بیش از ۱۵میلیون کارت اعتباری دستگیر شده بودند، عضو این گروه سایبری بوده‌اند.

اخیرا، این شرکت امنیتی ادعا کرده است که شواهدی از یک پنل مدیریتی و نمونه‌ی بدافزاری جدید را که از ماه می تا ژانویه‌ی سال ۲۰۱۸ در یک پویش به نام Astra مورد استفاده قرار گرفته، کشف کرده است. این پنل جدید که با زبان برنامه‌نویسی PHP نوشته شده و به‌عنوان یک سیستم مدیریت اسکریپت عمل می‌کند، موجب هدف قرار دادن رایانه‌های آسیب‌دیده با اسکریپت‌های حمله می‌شود. براساس گزارش وزارت دادگستری آمریکا، شرکت Combi Security که یک شرکت تست نفوذ و خدمات امنیتی مستقر در روسیه و رژیم صهیونیستی است، توسط گروه FIN7 برای استخدام سایر نفوذگران مورد استفاده قرار می‌گیرد.

به گزارش فلش‌پوینت، این حملات با ارسال ایمیل‌های فیشینگ حاوی پیوست‌های مخرب طراحی‌شده برای نصب بدافزار بر روی دستگاه‌های قربانیان آغاز شده‌اند. این حملات می‌توانند توسط بدافزارهای جدید SQLRat، بدافزاری برای اجرای فایل‌ها و اسکریپت‌های SQL بر روی میزبان، و یا درب پشتی چندپروتکله‌ی DNSbot برای تغییر فرمان‌ها و دانلود یا دسترسی به داده‌ها انجام شوند. بدافزار SQLRat می‌تواند با ایجاد یک اتصال مستقیم SQL به پایگاه داده‌ی مایکروسافت تحت کنترل مهاجم، محتوای جداول مختلف را اجرا نماید. به‌نظر می‌رسد که این اسکریپت یک نسخه از TinyMet باشد. محققان همچنین استفاده از TinyPS را کشف کرده‌اند.

به گفته‌ی محققان فلش‌پوینت، در یک پویش دیگر مهاجمان از همان پنل مدیریتی که درب پشتی DNSbot مبتنی بر جاوااسکریپت را ارائه می‌دهد، استفاده کرده‌اند که عمدتا بر روی ترافیک سیستم نام دامنه (DNS) عمل می‌کند، با این تفاوت که در این پویش مهاجمان می‌توانند کانال‌های رمزنگاری‌شده‌ای همچون پروتکل امن انتقال ابرمتن (HTTPS) یا پروتکل لایه‌ی سوکت‌های امن (SSL) را نیز مورد استفاده قرار دهند.

منبع

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

یک × 4 =