با ما به‌روز باشید!
info[at]nsec.ir
(+98)-313-3915336

سازمان‌های خاورمیانه در معرض یک کمپین جاسوسی سایبری

خلاصه: یک کمپین جدید با شباهت‌هایی به MuddyWater کشف شده‌است که سازمان‌هایی را در خاورمیانه و آسیای مرکزی هدف قرار می‌دهد. در این کمپین، مهاجم تلاش می‌کند تا خود را به‌جای سازمان‌های دولتی جا بزند. گفته می‌شود که این کمپین از روش‌های مبهم‌سازی مشابه با MuddyWater استفاده می‌کند. و با قرار دادن یک درب‌پشتی، اطلاعات ماشین آلوده شده مانند نام سیستم‌عامل، معماری، دامنه، پیکربندی آداپتور شبکه و نام کاربری را جمع‌آوری می‌کند.

 

یک کمپین جدید با شباهت‌هایی به MuddyWater کشف شده‌است که سازمان‌هایی را در پاکستان، ترکیه و تاجیکستان هدف قرار می‌دهد. مهاجمان از متدهای مهندسی اجتماعی مختلف برای فریب دادن قربانیان جهت فعال کردن ماکروها و پیلودها استفاده می‌کنند.

در این کمپین، مهاجم تلاش می‌کند تا خود را به‌جای سازمان‌های دولتی جا بزند. گفته می‌شود که این کمپین از روش‌های مبهم‌سازی مشابه با MuddyWater استفاده می‌کند.

پیلودها در برخی از اسناد استفاده شده برای فریب، مستقیما داخل سند جاسازی شده‌اند و برخی از اسناد شامل لینک‌هایی است که پیلود مخرب را دانلود می‌کنند.

هنگامی که پیلود اجرا می‌شود، دو اسکریپت مخرب را در دایرکتوری ProgramData ایجاد می‌کند، اسکریپت ویژوال بیسیک مبهم‌سازی شده (VBS_VALYRIA.DOCT) که اسکریپت پاورشل مبهم‌سازی شده (TROJ_VAKYRIA.PS) را اجرا می‌کند.

پاورشل مبهم‌سازی شده به سه قسمت تقسیم شده است:

  1. شامل کلیدهای رمزنگاری و وب‌سایت‌هایی که به‌عنوان پروکسی عمل می‌کنند.
  2. قسمت دوم، رمزنگاری RSA استاندارد
  3. شامل عملکرد درب‌پشتی. این مورد با سرور کنترل و فرمان ارتباط برقرار می‌کند و می‌تواند اقداماتی مانند پاک کردن، ریبوت، خاموش کردن، اسکرین‌شات و آپلود را انجام دهد.

درب‌پشتی اطلاعات ماشین آلوده شده مانند نام سیستم‌عامل، معماری، دامنه، پیکربندی آداپتور شبکه و نام کاربری را جمع‌آوری می‌کند. ارتباط با سرور کنترل‌و‌فرمان از طریق پیام‌های XML انجام می‌شود.

به‌گفته‌ی محققان، مهاجمان به‌صورت فعال ارتباطات ورودی به سرورهای کنترل و فرمان را نظارت می‌کنند. محققان یک درخواست نامناسب را برای سرور کنترل‌و‌فرمان ارسال کردند که با پیام زیر پاسخ داده شد: "Stop!!! I Kill You, Researcher."

توصیه می‌شود که برای محافظت در برابر این نوع کمپین‌ها به موارد زیر توجه داشته باشید:

  • یک آدرس ایمیل منحصربه‌فرد داشته باشید.
  • هیچ پیوستی را بدون اطمینان حاصل کردن از اعتبار آن باز نکنید.
  • ایمیل‌های داوطلبانه را باز نکنید.
  • از دروازه‌های ضد اسپم و فیلترکننده اسپم استفاده کنید.
  • هرگز به هیچ ایمیل اسپمی پاسخ ندهید.
  • از احراز اصالت دو فاکتوری استفاده کنید.