شناسایی بدافزار جدید با قابلیت مخفی شدن بین کد‌های بلااستفاده

شناسایی بدافزار جدید با قابلیت مخفی شدن بین کد‌های بلااستفاده
تاریخ انتشار : ۱۷ آذر ۱۴۰۰

محققان امنیت سایبری هشدار داده‌اند که یک گروه از هکر‌های مرتبط با روسیه، از یک بدافزار جدید برای اجرای حملات سایبری خود استفاده می‌کند.

به گزارش گرداب - یک گروه از هکر‌های مرتبط با روسیه که ادعا می‌شود به حمله سایبری سولارویندز (SolarWinds) مرتبط هستند، بدافزار جدیدی را ساخته‌اند که طبق ادعای آمریکایی‌ها هدف آن، کسب‌وکار‌ها و دولت‌های آمریکای شمالی و اروپاست.

این بدافزار، شبکه‌ها را دستکاری می‌کند، اطلاعات را می‌دزدد و زمینه را برای انجام حملات آینده آماده می‌سازد.

این حملات هم‌چنین شامل دستکاری چندین ارائه دهنده خدمات ابری و مدیریت شده می‌شود که هکر‌ها امکان دسترسی به مشتریان آن‌ها را پیدا می‌کنند. یک گروه از محققان امنیت سایبری این کمپین گسترده را به دو گروه هکری مرتبط کرده‌اند که از آن‌ها به عنوان UNC۳۰۰۴ و UNC۲۶۵۲ یاد می‌شود.

محققان این گروه‌ها را با UNC۲۴۵۲ مرتبط می‌دانند که در گزارش‌های مایکروسافت با نام نوبلیوم (Nobelium) شناخته می‌شود و یک گروه از هکرهاست که طرف آمریکایی ادعا می‌کند از طرف سرویس اطلاعات خارجی روسیه فعالیت می‌کند و عامل حمله سایبری به سولار ویندز است.

با این که هر یک از این گروه‌ها خارج از روسیه فعالیت می‌کنند و به نظر می‌رسد که اهداف مشابهی دارند، اما محققان نمی‌توانند بطور قطعی بگویند که همه آن‌ها بخشی از یک واحد هستند. کمپین هک جدید از یک دانلود‌کننده بدافزارسفارشی استفاده می‌کند که محققان آن را Ceeloader نامیده‌اند.

شناسایی بدافزار جدید با قابلیت مخفی شدن بین کد‌های بلااستفاده

این بدافزار به زبان برنامه‌نویسی C نوشته شده است و پیلود شِل کد‌ها را رمزگشایی می‌کند تا در حافظه دستگاه ویندوز قربانی اجرا شود و امکان توزیع بدافزار‌های بیش‌تر فراهم گردد. با نرم‌افزار آنتی ویروس نمی‌توان Ceeloader را شناسایی کرد، زیرا این بدافزار در بین تعداد زیادی از کد‌های بلااستفاده (junk codes) پنهان می‌شود.

روش‌های دیگری که هکر‌ها استفاده می‌کنند شامل سوءاستفاده از ابزار تست نفوذ Cobalt Strike برای قرار دادن یک درب پشتی در سیستم آسیب دیده است که می‌تواند برای اجرای دستورات و انتقال فایل‌ها و هم‌چنین ارائه یک کی‌لاگر (Keylogger) که بتواند نام‌های کاربری و رمزعبور‌ها را سرقت کند، استفاده شود.

علاوه بر استقرار بدافزار، هکر‌ها به خدمات ابری اهداف حمله خود نیز دسترسی دارند. مانند سایر کمپین‌های هک مرتبط با روسیه، این حملات نیز اعتبار ورود به سیستم پروتکل دسکتاپ از راه دور (RDP) را هدف قرار می‌دهند.

حوادثی مانند حمله به زنجیره تأمین سولار ویندز که دولت روسیه در آن دست داشته است و حمله به زنجیره تأمین Kaseya و حمله باج‌افزار نشان داده‌اند که چقدر بدافزار می‌تواند قدرتمند باشد و به همین دلیل است که ارائه‌دهندگان سرویس ابری هم‌چنان یک هدف بزرگ برای حملات سایبری هستند.


انتظار می‌رود که هکر‌های مرتبط با روسیه و دیگر گروه‌های سایبری تهاجمی، هم‌چنان به سازمان‌ها، زنجیره‌های تأمین و ارائه‌دهندگان خدمات ابری در سراسر جهان حمله کنند.
منبع:
ZDNet