محققان امنیتی پویش سایبری را شناسایی کردند که حدس زده میشود توسط عوامل تروجان KHRAT راهاندازی شده است. این پویش کاربران در آسیای جنوب شرقی را هدف قرار داده است. به گفتهی محققان امنیتی این گروه نفوذ RANCOR نام داشته و در پویش جدید خود از دو بدافزار جدید با نامهای PLAINTEE و DDKONG برای هدف قرار دادن نهادهای سیاسی در سنگاپور و کلمبیا استفاده کرده است. هرچند قبلا گفته میشد عوامل تروجان KHRAT، یک گروه نفوذ چینی با نام DragonOK هستند.
در بررسی زیرساخت دستور و کنترل متعلق به تروجان KHRAT، محققان امنیتی نسخههای مختلفی از دو بدافزار جدید را شناسایی کردند. در این بین، بدافزار PLAINTEE آخرین ابزار حملهی این گروه نفوذ محسوب شده و برای برقرار ارتباط با سرور دستور و کنترل از پروتکل UDP استفاده میکند. مهاجمان برای توزیع بدافزارهای PLAINTEE و DDKONG از ایمیلهای فیشینگ استفاده میکنند که در آنها از بردارهای حملهی مختلفی مانند اسناد آفیس با ماکروهای مخرب و یا بارگیریکنندههای DLL استفاده شده است.
علاوه بر این بدافزار PLAINTEE افزونههای مخرب بیشتری را از سرور دستور و کنترل خود از طری همان پروتکل UDP دانلود میکند. گفتنی است این بدافزار از یک پروتکل نادر و ویژهی UDP استفاده میکند که بدافزار با استفاده از آن میتواند از دید نرمافزارهای ضدبدافزاری ناشناخته باقی بماند. در طرف دیگر بدافزار DDKONG از فوریهی سال ۲۰۱۷ میلادی توسط مهاجمان سایبری مورد استفاده قرار میگیرد و مانند بدافزار دیگر از پروتکل خاصی برای برقرار ارتباط با سرور دستور و کنترل استفاده نمیکند. همچنین معلوم نیست این بدافزار توسط این گروه نفوذ و یا چند گروه نفوذ دیگر مورد استفاده قرار میگیرد.
براساس گزارش محققان امنیتی، در هر دو بدافزار، بار دادهی نهایی تلاش دارد تا بر روی سیستمهای هدف که نهادهای سیاسی هستند به جاسوسی بپردازند و هدف آنها کسب منفعت و سود مالی نیست. همانطور که تجربه نشان داده، گروه نفوذ RANCOR معمولا کاربران با دانش فنی پایین را هدف قرار داده و به کاربران توصیه میشود ضمیمههای ایمیلهای مشکوک را دانلود نکرده و بر روی لینکها کلیک نکنند. همچنین از یک برنامهی ضدبدافزاری مبتنی بر رفتار استفاده کرده و همواره آن را بهروز نگه دارند.
