سرقت اطلاعات از رایانه‌های Air-Gapped توسط ابزار جاسوسی جدید USBCulprit

براساس تحقیقات جدید منتشرشده توسط آزمایشگاه کسپرسکی، یک مهاجم چینی در تلاش برای به‌دست آوردن داده‌های حساس برای اهداف جاسوسی، قابلیت‌های جدیدی را برای هدف قراردادن سیستم‌های Air-Gapped توسعه داده است. این مهاجم که با نام‌های Cycldek ،Goblin Panda  یاConimes  شناخته می‌شود، از مجموعه‌ی ابزار گسترده‌ای برای حرکت جانبی و سرقت اطلاعات در شبکه‌های قربانی استفاده می‌کند.

به گفته‌ی محققان امنیتی کسپرسکی، یکی از ابزارهای تازه کشف‌شده USBCulprit نام دارد که برای استخراج داده‌های قربانی، به رسانه‌ی USB متکی است. این امر نشان می‌‌دهد که Cycldek در تلاش است تا در محیط قربانی، به شبکه‌های Air-Gapped دست یابد و برای این منظور به حضور فیزیکی وابسته است.

مهاجم Cycldek که برای اولین بار در سال ۲۰۱۳ میلادی شناسایی شد، دارای سابقه‌ای طولانی در هدف قراردادن بخش‌های دفاعی، انرژی و دولتی در جنوب شرقی آسیا، به ویژه ویتنام، از طریق بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده در اسناد Microsoft Office (به‌عنوان مثال، CVE-2012-0158، CVE-2017-11882 و CVE-2018-0802)، به‌منظور توزیع بدافزاری به نام NewCore RAT است.

تجزیه و تحلیل کسپرسکی از NewCore نشان می‌دهد که دو نوع مختلف از این بدافزار با نام‌های BlueCore و RedCore وجود دارد. به گفته‌ی محققان، کد و زیرساخت این دو بدافزار مشابه هستند، اما برخی ویژگی‌های منحصربه‌فرد نیز دارند. هر دو بدافزار BlueCore و RedCore به نوبه‌ی خود، انواع ابزارهای اضافی را برای تسهیل حرکت جانبی (HDoor) و استخراج اطلاعات (JsonCookies و ChromePass) از سیستم‌های به خطر افتاده بارگیری می‌کنند.

مهم‌ترین این ابزارها، بدافزار USBCulprit است که می‌تواند برخی از مسیرها را اسکن کرده و اسناد با پسوندهای خاص (*.pdf، *.doc، *.wps، *.docx، *.ppt، *.xls، *.xlsx، *.pptx و ‌*.rtf) را جمع‌آوری و آن‌ها را به درایو USB متصل ارسال کند.

محققان اظهار داشتند، این بدافزار به‌گونه‌ای برنامه‌ریزی شده است تا خود را به صورت انتخابی در درایوهای قابل‌حمل کپی کند. به این ترتیب، می‌تواند هر بار که یک درایو USB آلوده به دستگاه دیگری متصل شود، به‌صورت جانبی به سایر سیستم‌های Air-Gapped نیز انتقال یابد.

منبع

پست‌های مشابه

Leave a Comment

شانزده + هجده =