پویش‌های فیشینگ COVID-19 همچنان ادامه دارد

یکی دیگر از پویش‌های فیشینگ COVID-19  کشف شده است که ظاهراً توسط گروه APT36 مستقر در پاکستان مدیریت و کنترل می‌شود. APT36 از سال ۲۰۱۶ میلادی فعال بوده است و در اوایل، علیه فعالیت‌های دفاعی و حکومتی هند فعالیت جاسوسی سایبری انجام می‌داد.

اولین گزارش مربوط به این پویش جدید در توییت گروه RedDrip در ۱۲ مارس سال ۲۰۱۰ میلادی منتشر شد. این گزارش بیان می‌کند که اسناد مخرب وانمود می‌کنند از طرف دولت هند و شامل مشاوره‌ی بهداشتی درباره‌ی ویروس کرونا هستند و به نظر می‌رسد که با Transparent Tribe توزیع می‌شوند. قربانیان فریب می‌خورند که برای اجرای بار داده‌ی Crimson RAT ماکرو را فعال کنند. Transparent Tribe یک نام جایگزین برای APT36 است. تحقیقات اخیر Proofpoint استفاده از Crimson RAT در یک حمله‌ی watering hole علیه سفارتخانه‌های هند در عربستان سعودی و قزاقستان و ارتباط آن به پاکستان را تشریح می‌کند.

مالوربایتس اسناد استفاده‌شده در پویش اخیر را تجزیه و تحلیل کرده است و یک ایمیل اسپرفیشینگ را توصیف می‌کند که خود را به‌عنوان ایمیلی از طرف دولت هند وانمود جا می‌زند و پیوندی به یک مشاوره‌ی بهداشتی جعلی ویروس کرونا دارد.

سند پیوند داده شده شامل دو ماکروی مخفی است که Crimson RAT را توزیع می‌کند. گام اول ایجاد دو مسیر با نام‌های Edlacar و Uahaiws و سپس بررسی نوع سیستم عامل است. براساس سیستم عامل، نسخه‌ی ۳۲ بیتی یا ۶۴ بیتی RAT را انتخاب می‌کند و آن را به‌صورت فشرده‌شده در مسیر Uahaiws توزیع می‌شود. سپس با استفاده از تابع UnAldZip از حالت فشرده خارج می‌شود و بار داده در مسیر Edlacar توزیع و اجرا می‌شود.

Crimson RAT همان‌طور که توسط MITRE ATT&ck توصیف شده است، می‌تواند گواهی‌نامه‌ها را از مرورگرها به سرقت ببرد و از یک پروتکل TCP سفارشی برای ارتباط C2 استفاده کند، می‌تواند داده‌ها را از درایوهای قابل جابجایی جمع‌آوری کند، ایمیل‌ها را از Outlook جمع‌آوری و استخراج کند، فایل‌ها و مسیرها و جستجو برای پسوندهای خاص را فهرست کند، فرآیندها را فهرست کند، فایل‌ها را از سرور C2 واکشی کند، اسکرین‌شات‌ها را جمع‌آوری کند، اطلاعات هر محصول ضد بدافزاری نصب‌شده، اطلاعات دستگاه و سیستم عامل، آدرس مک و LAN IP را جمع‌آوری کند.

مالوربایتس بیان می‌کند که در این نمونه، Crimson RAT به آدرس‌های آی‌پی رمزنگاری‌شده‌ی C&C متصل می‌شود و اطلاعات جمع‌آوری‌شده درباره‌ی قربانی ازجمله فهرست فرآیندهای در حال اجرا و شناسه‌های آن‌ها، نام میزبان دستگاه و نام کاربری آن‌ها را به سرور ارسال می‌کند.

هیچ اطلاعاتی درباره‌ی اهداف قربانی خاص ارائه نشده است، بنابراین هنوز هیچ اطلاعاتی درباره‌ی وسعت این پویش وجود ندارد.

استفاده از COVID-19 به‌عنوان یک فریب‌دهنده‌ی فیشینگ رایج است و چیز غیرمنتظره‌ای نیست، اما این بهانه‌ای برای حساس کردن اوضاع نیست. گزارش‌های رسانه‌ای متعددی درباره‌ی APT  تحت حمایت دولت چین به نام Vicious Panda وجود دارد. مالوربایتس درباره‌ی این پویش فیشینگ APT36 گزارش می‌دهد و بیان می‌کند که بسیاری از عاملان تهدید تحت حمایت دولت ازجمله Vicious Panda و Mustang Panda توزیع فریب‌دهنده‌های ویروس کرونا را آغاز کرده‌اند.

اما در واقع Vicious Panda وجود ندارد، این نام از عنوان گزارش چک پوینت برگرفته شده است. در این گزارش هیچ اشاره‌ای به Vicious Panda نشده و این گروه بی‌نام توصیف شده است. بااین‌که به‌عنوان یک APT توصیف می‌شود، اما در این گزارش به دولت چین نسبت داده نشده و تنها تصور می‌شود که این گروه در چین است.

ممکن است به خاطر این‌که این گروه بی‌نام به‌راحتی قابل تشخیص باشد، Vicious Panda نامیده شده است. ممکن است که این گروه چینی باشد و حتی احتمال دارد که تحت حمایت دولت چین باشد.

منبع

Related posts

Leave a Comment

4 × 5 =