امروز: شنبه، 30 تیر 1397

سیمانتیک هشدار می‌دهد، گروه حمله‌ی هدفمند وابسته به ایران به نام Chafer اهداف خود را در خاورمیانه و فراتر از آن گسترش می‌دهد و ابزارهای جدیدی را به انبار سلاح‌های سایبری خود اضافه می‌کند.

 

سال گذشته، این گروه مشغول انجام یک سری حملات جدید شد، که به شرکت‌های بزرگ مخابراتی در خاورمیانه آسیب زد و همچنین تلاش کرد به یک شرکت مسافرتی بین‌المللی بزرگ نیز حمله کند. این گروه از ماه جولای سال گذشته فعال بوده و چند سال پیش مشخص شد که به طور عمده روی عملیات نظارتی و ردیابی افراد تمرکز کرده است.

در طول سال ۲۰۱۷ میلادی، این گروه از ۷ ابزار جدید استفاده کرد، زیرساخت جدیدی را گسترش داد، و ۹ سازمان جدید را در رژیم صهیونیستی، اردن، امارات متحده عربی، عربستان و ترکیه هدف قرار داد. از جمله‌ی این اهداف شرکت‌های هواپیمایی، خدمات هواپیمایی، شرکت‌های خدمات فن‌آوری اطلاعات و نرم‌افزار فعال در بخش‌های حمل‌ونقل هوایی و دریایی، مخابرات، خدمات حقوق و دستمزد، مشاوره‌های مهندسی، و شرکت‌های نرم‌افزار مدیریت اسناد هستند.

سیمانتیک کشف کرد که این گروه همچنین یک شرکت هواپیمایی آفریقایی را مورد هدف قرار داد و تلاش کرد به یک شرکت مسافرتی بین‌المللی نیز آسیب بزند.

سال گذشته، گروه Chafer یک ارائه‌دهنده‌ی خدمات مخابراتی در خاورمیانه را در معرض خطر قرار داد که برای چند اپراتور مخابراتی در منطقه راه‌حل‌هایی را به فروش می‌رساند. این آسیب به طور بالقوه به مهاجمان اجازه می‌دهد که روی یک مجموعه‌ی بزرگی از کاربران نهایی نظارت کند.

در حملاتی که در سال ۲۰۱۵ میلادی مشاهده شد، این گروه احتمالاً از طریق حملات تزریق SQL به کارگزارهای وب سازمان‌ها حمله کرده بود. سال گذشته، این گروه استفاده از اسناد مخرب برای توزیع بدافزار را آغاز کرد که احتمالاً از طریق رایانامه‌های فیشینگ هدف‌دار برای کارکنان سازمان‌های مورد هدف ارسال شده بود.

 

گفته شده که اسناد مخرب، صفحات گسترده‌ی اکسل حاوی یک پرونده‌ی VBS مخرب بودند که یک اسکریپت پاورشل اجرا می‌کردند تا یک توزیع‌کننده را در دستگاه آسیب‌دیده به اجرا در آورند. این توزیع‌کننده یک ابزار سرقت اطلاعات، یک ابزار ضبط صفحه نمایش، و یک پرونده‌ی خالی قابل اجرا نصب می‌کند.

ابزار ضبط صفحه نمایش تنها در مرحله‌ی جمع‌آوری اطلاعات اولیه نقش داشت، ابزار سرقت اطلاعات محتوای کلیپ‌برد را هدف قرار می‌داد، اسکرین‌شات تهیه می‌کرد، کلید‌های فشرده‌شده را ضبط می‌کرد و پرونده‌ها و گواهی‌نامه‌های کاربران را به سرقت می‌برد. سپس، مهاجم ابزارهای بیشتری در رایانه‌ی آلوده بارگیری می‌کرد و اقدام به حرکات جانبی در شبکه‌ی قربانی می‌کرد.

به تازگی، Chafer علاوه بر بدافزاری که مربوط به این گروه است، ۷ ابزار جدید را به کار گرفته است. سیمانتیک خاطرنشان کرد، بسیاری از این ابزارها برای استفاده‌ی مخرب به صورت رایگان در دسترس قرار گرفته‌اند.

از جمله‌ی این ابزارها می‌توان به موارد زیر اشاره کرد: Remcom که یک جایگزین متن باز برای PsExec است، یک جایگزین متن باز برای مدیر خدمات ویندوز، یک ابزار سفارشی اسکرین‌شات و ضبط کلیپ‌برد، ابزارهای نفوذ SMB شامل بهره‌برداری EternalBlue، GNU HTTP که یک ابزار متن‌باز برای ایجاد یک تونل دوطرفه‌ی HTTP در رایانه‌های لینوکس است، UltraVNC که یک ابزار مدیریت از راه دور متن‌باز برای ویندوز است، و NBTScan که یک ابزار رایگان برای پویش شبکه‌های آی‌پی برای اطلاعات نام NetBIOS است.

علاوه بر این، گروه Chafer همچنان به استفاده از ابزارهایی مانند درب‌پشتی سفارشی Remexi، PsExec، Mimikatz، Pwdump و Plink ادامه می‌دهد.

 

به نظر می‌رسد که گروه  Chaferاین ابزارها را برای عبور از شبکه‌های مورد هدف استفاده می‌کند. به تازگی برای پایداری و نصب یک سرویس برای اجرای Plink که نشست‌های SSH معکوس را برای به دست آوردن دسترسی RDP در رایانه‌ی آسیب‌دیده ایجاد می‌کند، NSSM به کار گرفته شده است. PsExec، Remcom، و ابزارهای نفوذ SMB نیز برای حرکات جانبی مورد استفاده قرار گرفته‌اند.

زیرساخت جدیدی که در حملات اخیر استفاده شده است شامل دامنه‌ی win۷-updates[.]com به عنوان یک آدرس دستور و کنترل به همراه چند آدرس آی‌پی است، هر چند مشخص نیست که این‌ها اجاره یا ربوده شده بودند. در کارگزاری که ظاهراً توسط مهاجمان استفاده شده بود، پژوهش‌گران رونوشت‌هایی از بسیاری از ابزارهای گروه را یافته‌اند.

بنا به گفته‌ی سیمانتیک، فعالیت‌های Chafer به Oilrig که گروه جاسوسی اینترنتی وابسته به ایران است، ارتباط‌هایی دارد. به نظر می‌رسد هر دو از آدرس آی‌پی یکسانی برای آدرس دستور و کنترل استفاده می‌کنند.

سیمانتیک می‌گوید، در حالی که این مسأله نشان می‌دهد که این دو گروه یکی هستند و مشابه هم هستند، شواهد کافی برای حمایت از این فرضیه وجود ندارد. پژوهش‌گران می‌گویند، به احتمال زیاد این دو گروه برای یکدیگر شناخته‌شده هستند و از دسترسی به منابع اشتراکی بهره می‌برند.

فعالیت‌های اخیر Chafer نشان می دهد که نه تنها این گروه بسیار فعال باقی می‌ماند، بلکه در انتخاب اهداف خود نیز بسیار حساس‌تر می‌شود. همانند سایر گروه‌های حمله‌ی هدفمند، این گروه نیز برای فعالیت‌های مخرب خود به ابزارهای نرم‌افزاری رایگان متکی است و همچنین به حملات زنجیره‌ی تأمین منتقل شده است که بیشتر وقت‌گیر هستند و احتمال کشف شدن آن‌ها بیشتر است.

سیمانتیک می‌گوید: «این حملات خطرناک هستند اما با پاداش بالاتری انجام می‌شوند، و در صورت موفقیت، دسترسی به یک مجموعه‌ی وسیعی از هدف‌های بالقوه را به مهاجمان می‌دهند.»


منبع: news.asis.io