مهاجمان در کارزاری سایبری با استفاده از نسخه جدیدی از یک جاسوسافزار قدیمی اقدام به سرقت اطلاعات از صدها شرکت کردهاند.
منبع : مرکز مدیریت راهبردی افتا
مهاجمان در کارزاری سایبری با استفاده از نسخه جدیدی از یک جاسوسافزار قدیمی اقدام به سرقت اطلاعات از صدها شرکت کردهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار Separ دادههای ثبت ورود (Login) را از مرورگرها و نرمافزارهای مدیریتکننده ایمیل استخراج کرده و به همراه مستندات و تصاویر با پسوندهای خاص به مهاجمان ارسال میکند.
مهاجمان این کارزار از ایمیلهای فیشینگ هدفمند (Spear-phishing) که کدهایی مخرب در قالب فایل PDF به آنها پیوست شده بهمنظور رخنه به سیستمها و آلودهسازی آنها به بدافزار بهره میگیرند.
کارزار مذکور موجب آلودگی حداقل ۲۰۰ دستگاه در حدود ۱۰ کشور شده است. تقریباً ۶۰ درصد از این قربانیان شرکتهایی در کره جنوبی هستند که در حوزه مهندسی، ساختوساز، فولاد، مواد شیمیایی و ساخت لوله و شیرآلات فعالیت دارند. از جمله آنها یک شرکت سازنده تجهیزات زیرساخت حیاتی است که پیمانکار کارخانجات شیمیایی، ارائهدهندگان تجهیزات توزیع و انتقال برق و شرکتهای فعال در حوزه انرژیهای تجدیدپذیر است.
تایلند و چین بهترتیب با ۱۲,۹ و ۵.۹ درصد در جایگاههای دوم و سوم کشورهای آلوده به کارزار مذکور قرار دارند. ژاپن، اندونزی، ترکیه، اکوادور، آلمان و انگلیس دیگر قربانیان این حملات هستند.
ایمیلهای فیشینگ ارسالی از سوی این مهاجمان به نحوی کاملاً خاص و حرفهای، ویژه هر هدف طراحی شده است. در یکی از آنها این طور وانمود شده که ارسالکننده کارمند یکی از شرکتهای تابعه زیمنس است و درخواست پیشنهاد قیمت برای طراحی نیروگاهی در جمهوری چک را دارد. در پیوست پیام ارسالی، نمودار و مقالهای فنی (که البته بهصورت عمومی در اینترنت نیز قابل دسترس است) در خصوص نحوه راهاندازی یک پالایشگاه تولید بنزین به چشم میخورد. یا در یک درخواست پیشنهاد قیمت جعلی دیگر، مهاجم به ساخت یک نیروگاه ذغال سنگ در اندونزی اشاره کرده و تظاهر میکند که از بخش مهندسی یک شرکت صاحبنام خوشهای در ژاپن ایمیل ارسال شدهاست. همانطور که اشاره شد بدافزار بهکار گرفته شده در این کارزار جاسوسافزاری با نام Separ است که اولین نسخه از آن در سال ۲۰۱۳ شناسایی شد. در اوایل سال میلادی جاری نیز نسخهای جدید از این بدافزار مورد استفاده گروهی از مهاجمان قرار گرفته بود. با این حال، نسخه بکار رفته در جریان این کارزار نسخهای تکامل یافته از Separ است.
این بدافزار از قابلیت Autorun برای ماندگار کردن خود بعد از راهاندازی سیستم استفاده کرده و از ابزارهایی که بسیاری از آنها بهصورت عمومی قابل دسترساند ازجمله موارد زیر بهره بردهاست: • Browser Password Dump v۶,۰ by SecurityXploded • Email Password Dump v۳,۰ by SecurityXploded • NcFTPPut ۳,۲.۵ – Free FTP client • The LaZagne Project (password dumper) • deltree (folder delete) • Command Line Process Viewer/Killer/Suspender for Windows NT/۲۰۰۰/XP V۲,۰۳ • MOVEit Freely ۱,۰.۰.۱ – Secure FTP Client • Sleep tool by tricerat
پس از نصب، بدافزار اطلاعات احرازهویت مرورگرها و نرمافزارهای مدیریتکننده ایمیل را سرقت کرده و اقدام به جستجو و شناسایی اسناد بالقوه بااهیمت برای مهاجمان بر اساس پسوند آنها میکند. تمامی دادههای جمعآوری شده با استفاده از پودمان FTP به یک سرویسدهنده رایگان میزبانی وب به نشانی freehostia[.]com ارسال میشود.
محققان، ادامه ارسال اطلاعات احرازهویت سرقت شده به نشانی مذکور را نشانهای از تداوم فعال بودن این کارزار میدانند.