انتشار بدافزار Zeppelin

انتشار بدافزار Zeppelin
تاریخ انتشار : ۲۴ آذر ۱۳۹۸

کارشناسان امنیتی بدافزاری به نام Zeppelin شناسایی کرده‌اند که کاربران شرکت‌های فناوری را هدف قرار می‌دهد.

به گزارش گرداب، به‌تازگی کارشناسان شرکت امنیت سایبری بلک بری سایلنس (BlackBerry Cylance) باج افزاری به نام زپلین (Zeppelin) شناسایی کرده‌اند که به زبان دلفی و بر پایه کد بدافزار VegaLocker نوشته‌شده و کاربران شرکت‌های فناوری، خدمات درمانی، پزشکی و سلامت را در اروپا و آمریکای شمالی هدف قرار می‌دهد.

به اعتقاد کارشناسان، این بدافزار توسط گروه هکری روس زبان توسعه داده‌شده و  به‌راحتی سفارشی‌سازی می‌شود و می‌تواند علیه یک قربانی معین مورداستفاده قرارگرفته و طبق درخواست مهاجم تنظیم گردد. زپلین همچنین می‌تواند به‌عنوان فایل‌های EXE ،DLL توزیع‌شده و یا از PowerShell بهره گیرد و از قابلیت‌های دیگر زیر برخوردار است: 

• عمل به‌عنوان IP Logger و ردیابی آدرس‌های آی پی و موقعیت قربانی،

• قابلیت ماندگاری دائمی در سیستم، 

• متوقف ساختن سرویس‌های خاص، غیرفعال کردن بازیابی فایل‌ها، پاک کردن بک‌آپ‌ها و کپی‌های سایه (shadow copy)،

• حذف فرایندهای اعلام‌شده از سوی مهاجم، 

• بازگشایی فایل‌هایی که حین رمزنگاری قفل‌شده‌اند،

• تخریب خود،

• تلاش برای راه‌اندازی یک بدافزار با امتیازات بالا.

تجزیه‌وتحلیل کد زپلین نشان می‌دهد که نخستین بار اوایل نوامبر سال جاری کامپایل شده است و از طریق حملات به زنجیره تأمین و انجام حملات گودال آب (Watering hole) و نیز از طریق ارائه‌دهندگان خدمات امنيت مدیریت‌شده (MSSP)، توزیع شده و به رمزنگار نه‌چندان بی‌نام‌ونشان Sodinokibi شبیه‌سازی می‌گردد.

حمله گودال آب به حمله‌ای گفته می‌شود که هکرها با ایجاد حفره‌های آبی برای قربانی سعی دارند با اجرای اسکریپتی به‌صورت کاملاً مخفیانه قربانی را به سمت آن گودال هدایت کنند و از این طریق به سیستم قربانی نفوذ کنند، به‌بیان‌دیگر، مهاجمان بدافزار را در برخی منابعی که قربانی از آن بازدید می‌کند، مستقر می‌سازند.

به گفته کارشناسان بلک بری سایلنس، زپلین به‌عنوان سرویس در وب تاریک عرضه می‌شود و بسیاری از مجرمان سایبری آن را اجاره می‌کنند و برای اهداف خود استفاده می‌کنند، اما هنوز کمپین گسترده‌ای برای توزیع آن مشاهده نشده است.