بدافزار Karkoff نوع جدیدی از بدافزار DNSpionage با استراتژی اهداف انتخابی

گروه جرائم سایبری حامی پویش بدافزاری DNSpionage عملیات پیچیده‌ی جدیدی اجرا کرده است که قربانیان انتخاب‌شده را با نوع جدیدی از بدافزار DNSpionage آلوده می‌کند. اولین بار در ماه نوامبر سال گذشته اعلام شد که حملات DNSpionage از وب‌گاه‌های آسیب‌دیده و اسناد مخرب برای آلوده کردن رایانه‌ی قربانیان با بدافزار DNSpionage استفاده کرده است. DNSpionage یک ابزار مدیریت از راه دور سفارشی است که از ارتباطات HTTP و DNS استفاده می‌کند تا با سرور دستور و کنترل تحت مدیریت مهاجم ارتباط برقرار کند.

طبق گزارش جدیدی که توسط گروه پژوهش تهدید سیسکو منتشر شد، این گروه برخی روش‌ها، تکنیک‌ها و رویه‌های جدیدی برای بهبود کارایی عملیات خود و همچنین هدف‌مندتر، سازمان‌یافته‌تر و پیچیده‌تر کردن حملات سایبری خود به‌کار گرفته است. برخلاف پویش‌های قبلی، مهاجمان درحال‌حاضر کار شناسایی قربانیان قبل از آلوده کردن آن‌ها با نوع جدیدی از بدافزار به نام Karkoff را آغاز کرده‌اند. این بدافزار به مهاجمان اجازه می‌دهد تا به‌طور انتخابی تعیین کنند که کدام هدف‌ها آلوده شوند تا شناسایی نشوند.

پژوهش‌گران بیان می‌کنند که شباهت‌های زیرساختی DNSpionage و Karkoff را شناسایی کرده‌اند. در مرحله‌ی شناسایی، مهاجمان اطلاعات سیستمی مربوط به محیط کاری، سیستم‌عامل، دامنه و فهرست فرآیندهای درحال اجرا در دستگاه قربانی را جمع آوری می‌کنند. این بدافزار دو بستر ضدبدافزاری آویرا و آواست را جستجو می‌کند. درصورتی‌که یکی از این محصولات امنیتی در سیستم نصب شده باشد و در مرحله‌ی شناسایی، کشف شود، یک پرچم خاص تنظیم خواهد شد و برخی گزینه‌ها از فایل پیکربندی نادیده گرفته خواهد شد.

بدافزا Karkoff که در دات نت توسعه یافته است به مهاجمان اجازه می‌دهد تا کد دلخواه را به‌صورت از راه دور و از سرور دستور و کنترل خود در میزبان‌های آسیب‌دیده اجرا کنند. جالب است که بدافزار Karkoff یک فایل گزارش در سیستم قربانی ایجاد می‌کند که حاوی فهرستی از همه‌ی دستوراتی است که با یک نشانه‌ی زمانی اجرا شده‌اند. این فایل گزارش می‌تواند به آسانی برای ایجاد یک جدول زمانی از اجرای دستورات استفاده شود که می‌تواند در واکنش به این نوع تهدید بسیار مفید باشد. به این ترتیب، سازمانی که با این بدافزار آسیب می‌بیند این فرصت را دارد تا فایل گزارش را بررسی و دستورات انجام‌شده علیه سازمان را شناسایی کند. همانند پویش DNSpionage قبلی، حملات اخیر نیز منطقه‌ی خاورمیانه ازجمله لبنان و امارات متحده‌ی عربی را هدف قرار می‌دهند.

منبع

Related posts

Leave a Comment

ده + 19 =