امروز: چهارشنبه، 25 مهر 1397

شرکت ESET می‌گوید، گروه نفوذ کره شمالی که با نام لازاروس شناخته شده مسئول حمله به یک کازینوی برخط در آمریکای مرکزی است و علاوه بر آن اهداف مختلف دیگری نیز داشته است.

 

گروه لازاروس حداقل از سال ۲۰۰۹ میلادی فعال بوده است و گفته می‌شود که با تعداد زیادی از حملات سایبری مهم از جمله سرقت سایبری ۸۱ میلیون دلاری از حساب بنگلادش در بانک فدرال نیویورک در ارتباط است.

گفته می‌شود که این گروه جدی‌ترین تهدید علیه بانک‌ها است، و علاقه‌ی آن به ارز مجازی افزایش یافته است و اخیراً مخازن ابزارهای خود را به‌روزرسانی کرده است.

در حال حاضر ESET گزارش می‌دهد که حمله به یک کازینوی برخط در آمریکای مرکزی و حمله به اهداف دیگر در سال گذشته کار این گروه است. این مهاجمان در تمام حوادث از ابزارهای مشابهی از جمله ابزار پاک‌کن KillDisk استفاده کرده‌اند.

 

همچنین گفته می‌شود گروه لازاروس نیز تحت حمایت دولت کره شمالی است. این نفوذگران از طیف گسترده‌ای از ابزارهای سفارشی استفاده می‌کنند، اما از پروژه‌های مختلفی که در گیت‌هاب در دسترس قرار گرفته‌اند یا به صورت تجاری ارائه شده‌اند نیز استفاده می‌کنند.

شرکت ESET خاطرنشان کرد که در حمله به یک کازینوی برخط در آمریکای مرکزی، نفوذگران از ابزارهای مختلفی به همراه ابزار پاک‌کن حافظه‌ی KillDisk استفاده کرده‌اند. تقریباً تمام ابزارهای مخرب طراحی شده‌اند تا به عنوان یک سرویس ویندوز اجرا شوند و به همین منظور به امتیازات مدیر نیاز دارند، و این به این معنی است که نفوذگران در انتظار چنین امتیازاتی هستند.

یکی از این ابزارها که با نام NukeSped شناسایی شده است یک درب‌پشتی TCP است. این بدافزار به صورت پویا نام کتابخانه‌های مورد نیاز را در حین اجرای اولیه تعیین و مشخص می‌کند، و همچنین نام روال‌های رابط برنامه‌نویسی برنامه‌ی ویندوز را به صورت پویا ایجاد می‌کند. این درب‌پشتی درگاه ویژه‌ای را شنود می‌کند که اطمینان دارد  به وسیله‌ی دیواره‌ی آتش مسدود نمی‌شود.

این بدافزار از ۲۰ دستور با عملکردی مشابه نمونه‌های تجزیه و تحلیل شده‌ی لازاروس پشتیبانی می‌کند، و می‌تواند برای جمع‌آوری اطلاعات در سامانه، جستجوی پرونده‌ها، ایجاد فرآیندها، توزیع پرونده‌ها در سامانه‌های آلوده و تزریق به اکسپلورر و سایر فرآیندها مورد استفاده قرار گیرد.

 

شرکت ESET همچنین متوجه یک سارق نشست شده است، یک برنامه‌ی کنسول که به دلیل این‌که درب‌پشتی TCP می‌تواند یک دستور خاصی را از مهاجمان دریافت کند قادر به ایجاد یک فرآیند به عنوان کاربر وارد شده‌ی دیگر در سامانه‌ی قربانی است.

شرکت ESET می‌گوید، با توجه به آن‌چه که در شبکه‌ی آسیب‌دیده‌ی کازینو کشف شده است، این بدافزار به سارق نشستی مربوط است که در حملات لهستان و مکزیک مورد استفاده قرار گرفت.

در این شبکه، پژوهش‌گران امنیتی یک ابزار خط فرمان ساده یافتند که چند سوئیچ را که به منظور تزریق و یا خاتمه دادن فرآیندها، حذف یا نصب مجدد سرویس‌ها، و توزیع یا حذف پرونده‌ها طراحی شده بود، پذیرش می‌کرد.

دو نوع از این بدافزار KillDisk در این حمله مورد استفاده قرار گرفتند، که احتمالاً به موارد تکرارشده‌ای که قبلاً در حملات سایبری علیه هدف‌های ارزشمند در اوکراین در تاریخ دسامبر سال ۲۰۱۵ میلادی و دسامبر سال ۲۰۱۶ میلادی استفاده شده بود، هیچ ارتباطی نداشت.

این بدافزار پاک‌کن حافظه در بیش از ۱۰۰ دستگاه موجود در شبکه‌ی کازینو کشف شد که برای پوشش دادن عملیات جاسوسی و یا اخاذی از قربانی یا خراب‌کاری در سامانه استفاده می‌شد. استفاده همزمان از KillDisk به همراه چند بدافزار مربوط به لازاروس نشان می‌دهد که این گروه همان نفوذگرانی بودند که از پاک‌کن حافظه استفاده کردند.

این انواع بدافزار نه تنها شباهت‌های زیادی در کدهای خود دارند، بلکه تقریباً مشابه نوع KillDisk  هستند که قبلاً سازمان‌های مالی را در آمریکای لاتین هدف قرار داده بود.

 

پژوهش‌گران می‌گویند ESET همچنین مجموعه‌ای از رشته‌ها را کشف کرد که به آن‌ها اجازه می‌دهد تا نمونه‌های بدافزار کشف شده و حملات را به گروه لازاروس نسبت دهند، و نشان‌دهنده‌ی ارتباط و مشخصه‌های ثابت این گروه است.

این عامل به عنوان بخشی از حمله‌ی کازینوی برخط، از Mimikatz نیز استفاده کرده است که می‌تواند گواهی‌نامه‌های ویندوز را به همراه یک ابزار طراحی شده برای بازیابی گذرواژه‌ها از مرورگرهای وب محبوب استخراج کند. با این وجود در تاریخ دسامبر سال ۲۰۱۴ میلادی این ابزار در برابر کروم، کرومیوم، اج، و اینترنت اکسپلورر مؤثر بود.

این مهاجمان از ابزارهای توزیع و بارگیری مخرب استفاده کردند تا ابزارهای خود را در سامانه‌های قربانی بارگیری کنند. ابزارهای دسترسی از راه دور مانند Radmin ۳ و LogMeln نیز مورد استفاده قرار گرفتند تا دستگاه‌ها را از راه دور کنترل کنند.

شرکت ESET می‌گوید: «این حمله‌ی اخیر علیه یک کازینوی برخط در آمریکای مرکزی نشان می‌دهد که ابزارهای نفوذ مربوط به گروه لازاروس با هر حمله مجدداً اشکال‌زدایی می‌شوند. این حمله در نوع خود پیچیده بود، و از چندین مرحله تشکیل شده بود و شامل ده‌ها ابزار محافظت‌شده بود.» 


منبع: https://news.asis.io