سازمانهای خاورمیانه در معرض یک کمپین جاسوسی سایبری
خلاصه: یک کمپین جدید با شباهتهایی به MuddyWater کشف شدهاست که سازمانهایی را در خاورمیانه و آسیای مرکزی هدف قرار میدهد. در این کمپین، مهاجم تلاش میکند تا خود را بهجای سازمانهای دولتی جا بزند. گفته میشود که این کمپین از روشهای مبهمسازی مشابه با MuddyWater استفاده میکند. و با قرار دادن یک دربپشتی، اطلاعات ماشین آلوده شده مانند نام سیستمعامل، معماری، دامنه، پیکربندی آداپتور شبکه و نام کاربری را جمعآوری میکند.
یک کمپین جدید با شباهتهایی به MuddyWater کشف شدهاست که سازمانهایی را در پاکستان، ترکیه و تاجیکستان هدف قرار میدهد. مهاجمان از متدهای مهندسی اجتماعی مختلف برای فریب دادن قربانیان جهت فعال کردن ماکروها و پیلودها استفاده میکنند.
در این کمپین، مهاجم تلاش میکند تا خود را بهجای سازمانهای دولتی جا بزند. گفته میشود که این کمپین از روشهای مبهمسازی مشابه با MuddyWater استفاده میکند.
پیلودها در برخی از اسناد استفاده شده برای فریب، مستقیما داخل سند جاسازی شدهاند و برخی از اسناد شامل لینکهایی است که پیلود مخرب را دانلود میکنند.
هنگامی که پیلود اجرا میشود، دو اسکریپت مخرب را در دایرکتوری ProgramData ایجاد میکند، اسکریپت ویژوال بیسیک مبهمسازی شده (VBS_VALYRIA.DOCT) که اسکریپت پاورشل مبهمسازی شده (TROJ_VAKYRIA.PS) را اجرا میکند.
پاورشل مبهمسازی شده به سه قسمت تقسیم شده است:
- شامل کلیدهای رمزنگاری و وبسایتهایی که بهعنوان پروکسی عمل میکنند.
- قسمت دوم، رمزنگاری RSA استاندارد
- شامل عملکرد دربپشتی. این مورد با سرور کنترل و فرمان ارتباط برقرار میکند و میتواند اقداماتی مانند پاک کردن، ریبوت، خاموش کردن، اسکرینشات و آپلود را انجام دهد.
دربپشتی اطلاعات ماشین آلوده شده مانند نام سیستمعامل، معماری، دامنه، پیکربندی آداپتور شبکه و نام کاربری را جمعآوری میکند. ارتباط با سرور کنترلوفرمان از طریق پیامهای XML انجام میشود.
بهگفتهی محققان، مهاجمان بهصورت فعال ارتباطات ورودی به سرورهای کنترل و فرمان را نظارت میکنند. محققان یک درخواست نامناسب را برای سرور کنترلوفرمان ارسال کردند که با پیام زیر پاسخ داده شد: "Stop!!! I Kill You, Researcher."
توصیه میشود که برای محافظت در برابر این نوع کمپینها به موارد زیر توجه داشته باشید:
- یک آدرس ایمیل منحصربهفرد داشته باشید.
- هیچ پیوستی را بدون اطمینان حاصل کردن از اعتبار آن باز نکنید.
- ایمیلهای داوطلبانه را باز نکنید.
- از دروازههای ضد اسپم و فیلترکننده اسپم استفاده کنید.
- هرگز به هیچ ایمیل اسپمی پاسخ ندهید.
- از احراز اصالت دو فاکتوری استفاده کنید.