در این حمله مجرمان کاربرانی را مورد هدف قرار میدادند که در فرومهای مسکن روسیه به بحث و گفتگو میپرداختند و از این راه به انتخاب میپردازند.
ما قبلا به این واقعیت پی بردهایم که حملههای پیچیده سایبری از آسیبپذیریهای روز صفر، امضاهای دیجیتال، سیستم فایلهای مجازی، الگوریتم های رمزنگاری غیر استاندارد و سایر ترفندها استفاده میکنند اما گاهی اوقات آن ها با وجود تمام این راه های سخت و پر دردسر، از حملات ساده تری همانند حمله ای که ما آن را چندی پیش شناسایی کردیم و آن را Microcin نامیدیم، استفاده میکنند.
در این حمله ما یک فایل1RTF مشکوک را کشف کردیم. این اسناد شامل اکسپلویتی شناخته شده بود و در آسیب پذیری CVE-2015-1641 پچ شده بود. به طور قابل توجهی اسناد مخرب از طریق وب سایت هایی که مخاطبان بسیار محدودی دارند، به آلودگی کاربران پرداخته بودند. به همین دلیل است که ما در ابتدا تصور میکردیم با یک حمله هدفمند مواجه شدهایم.
در این حمله مجرمان کاربرانی را مورد هدف قرار میدادند که در فرومهای مسکن روسیه به بحث و گفتگو میپرداختند و از این راه به انتخاب میپردازند. اینطور که بنظر می رسد این رویکرد کاملا موثر بنظر میرسید، زیرا احتمال بازکردن اسناد مخرب از جانب کاربران، دانلود و در نهایت دریافت کدهای مخرب بسیار زیاد است. از آنجایی که مجرمان میزبان چنین فرومهایی بودند و البته کمتر کسی به این موضوع فکر می کند که فرومها محل اسکن مجرمان نیستند، پس همه چیز مشروع بنظر میرسید.
تمام لینکها در پیامهای فرومها به آدرس URLهایی files[.]maintr**plus[.]com، در جایی که اسناد RTF اکسپلویت شده بود، ختم میشد. گاهی اوقات مجرمان از فایلهای PPT که شامل یک فایل PE قابل اجرا بود و البته حاوی اکسپلویت نبود، به عنوان پیلودی که توسط یک اسکریپت در یک فایل PPT جاسازی شده است؛ استفاده میکنند.
اگر یک آسیبپذیری در مایکروسافت به طور موفقیتآمیز مورد اکسپلویت قرار بگیرد، اکسپلویت یک فایل PE اجرایی را روی هارد دیسک ایجاد کرده و آن را برای اجرا راه اندازی می کند. برنامه ی مخرب یک پلتفرم است که برای اعمال ماژولهای مخرب اضافی (افزودنی) مورد استفاده قرار میگیرد و آن ها را به صورت مخفی ذخیره میکند و از همین رو قابلیتهای جدیدی را برای مجرمان و تهدید کاربران بوجود میآورد. این حمله به مراحل زیر قابل اجرا است:
ما این موارد را در سایر کمپین های جاسوسی دیگر مشاهده کردیم.
مجرمان با استفاده از PowerSploit، یک مجموعه اصلاح شده از اسکریپتهای PowerShell و ابزارهای مختلف به سرقت فایل ها و کلمات عبور موجود در سیستم قربانی میپردازند.
مجرمان سایبری عمدتا به فایل های .doc، ppt، xls، docx، .pptx، .xlsx، .pdf، .txt و .rtf سیستم های قربانیان نفوذ می کنند. فایلهای آرشیو شده به صورت محافظت شده با رمزعبور به سرور مجرمان ارسال میشود.
به طور کلی تاکتیکها، تکنیکها و روشهایی که مجرمان سایبری در حملات خود استفاده میکنند، میتواند پیچیده یا حتی پرخرج باشد. با این حال چند چیز وجود دارد که توجه ما را به خود جلب کرد:
نتیجهگیری
هیچ فناوری بنیادی جدیدی در چنین برنامههای مخربی، بدون آسیبپذیری صفر روزه یا نوآوری در تهاجم و یا تکنیکهای دستکاری شده برای حمله نمیتواند موفق باشد. ابزار مجرمان سایبری برای حملات گسترده خود شامل موارد زیر میشود:
مجرمان در برخی از حملات خود همچنین از اسکریپتهای پاورشل که به طور گستردهای می تواند کاربردی باشد، استفاده میکنند. در بررسیهای مختلف دیده شده است که حملات درب پشتی در بسیاری از موارد می تواند استفاده قرار می گیرد، این در حالی است که PowerSploit یک پروژه منبع باز است. کاملا واضح است که مجرمان سایبری اهداف مشخصی دارند و با استفاده از فناوری های پیشرفته و البته شناخته شده دست به حمله میزنند و کاربران را مورد هدف قرار میدهند.
جالبترین بخش این مبارزان مخرب از نظر ما بردارهای حملهای است که در آنها مورد استفاده مجرمان قرار میگیرد. سازمان هایی که اغلب در لیست سیاه هدف های مجرمان سایبری قرار می گیرند اغلب به چنین بردارهایی توجه ندارند و آنها را در نظر نمی گیرند.
راه های مقابله در برابر حملات پیچیده مجرمان سایبری
پیاده سازی یک سیستم امنیتی جامع میتواند به طور قابل ملاحظهای قربانی شدن یک سازمان را به حداقل برساند و تهدیدات پیچیده را کاهش دهد. بدون در نظر گرفتن نرم افزار امنیتی هیچ راهکار دیگری برای مقابله با حملات مخرب سایبری وجود ندارد. حال چند لحظه به این مسئله فکر کنید که اطلاعات ارزشمند و چندساله ی شما تا چه اندازه برای شما اهمیت دارد؟ سرقت آنها برای شما هزینه برتر خواهد بود یا خرید یک راهکار امنیتی که امنیت مجموعه شما را تا حد زیادی تضمین میکند؟
1. RTF يك فايل عمومی است كه میتواند خوانده شده و مورد استفاده طيف وسيعی از برنامههای مختلف قرار گيرد.