گروه جرائم سایبری حامی پویش بدافزاری DNSpionage عملیات پیچیدهی جدیدی اجرا کرده است که قربانیان انتخابشده را با نوع جدیدی از بدافزار DNSpionage آلوده میکند. اولین بار در ماه نوامبر سال گذشته اعلام شد که حملات DNSpionage از وبگاههای آسیبدیده و اسناد مخرب برای آلوده کردن رایانهی قربانیان با بدافزار DNSpionage استفاده کرده است. DNSpionage یک ابزار مدیریت از راه دور سفارشی است که از ارتباطات HTTP و DNS استفاده میکند تا با سرور دستور و کنترل تحت مدیریت مهاجم ارتباط برقرار کند.
طبق گزارش جدیدی که توسط گروه پژوهش تهدید سیسکو منتشر شد، این گروه برخی روشها، تکنیکها و رویههای جدیدی برای بهبود کارایی عملیات خود و همچنین هدفمندتر، سازمانیافتهتر و پیچیدهتر کردن حملات سایبری خود بهکار گرفته است. برخلاف پویشهای قبلی، مهاجمان درحالحاضر کار شناسایی قربانیان قبل از آلوده کردن آنها با نوع جدیدی از بدافزار به نام Karkoff را آغاز کردهاند. این بدافزار به مهاجمان اجازه میدهد تا بهطور انتخابی تعیین کنند که کدام هدفها آلوده شوند تا شناسایی نشوند.
پژوهشگران بیان میکنند که شباهتهای زیرساختی DNSpionage و Karkoff را شناسایی کردهاند. در مرحلهی شناسایی، مهاجمان اطلاعات سیستمی مربوط به محیط کاری، سیستمعامل، دامنه و فهرست فرآیندهای درحال اجرا در دستگاه قربانی را جمع آوری میکنند. این بدافزار دو بستر ضدبدافزاری آویرا و آواست را جستجو میکند. درصورتیکه یکی از این محصولات امنیتی در سیستم نصب شده باشد و در مرحلهی شناسایی، کشف شود، یک پرچم خاص تنظیم خواهد شد و برخی گزینهها از فایل پیکربندی نادیده گرفته خواهد شد.
بدافزا Karkoff که در دات نت توسعه یافته است به مهاجمان اجازه میدهد تا کد دلخواه را بهصورت از راه دور و از سرور دستور و کنترل خود در میزبانهای آسیبدیده اجرا کنند. جالب است که بدافزار Karkoff یک فایل گزارش در سیستم قربانی ایجاد میکند که حاوی فهرستی از همهی دستوراتی است که با یک نشانهی زمانی اجرا شدهاند. این فایل گزارش میتواند به آسانی برای ایجاد یک جدول زمانی از اجرای دستورات استفاده شود که میتواند در واکنش به این نوع تهدید بسیار مفید باشد. به این ترتیب، سازمانی که با این بدافزار آسیب میبیند این فرصت را دارد تا فایل گزارش را بررسی و دستورات انجامشده علیه سازمان را شناسایی کند. همانند پویش DNSpionage قبلی، حملات اخیر نیز منطقهی خاورمیانه ازجمله لبنان و امارات متحدهی عربی را هدف قرار میدهند.