حمله مداوم هکر‌های حرفه‌ای به کشور‌های غرب آسیا و شمال آفریقا

حمله مداوم هکر‌های حرفه‌ای به کشور‌های غرب آسیا و شمال آفریقا
تاریخ انتشار : ۲۰ تير ۱۴۰۲

محققان از حمله‌های پیشرفته به دولت‌های مستقر در منطقه پرده برداشتند.

به گزارش گرداب، نهاد‌های دولتی در خاورمیانه و آفریقا هدف حملات جاسوسی سایبری قرار گرفته‌اند که در آن‌ها از روش‌های جدید و بی‌سابقه برای سرقت اطلاعات و تبادل ایمیل استفاده شده است. لیور روچبرگر (Lior Rochberger) محقق ارشد تهدیدات در Palo Alto Networks، طبق بررسی عمیقی که انجام داده است می‌گوید: «هدف اصلی این حملات به دست آوردن اطلاعات بسیار محرمانه و حساس مخصوصاً اطلاعات مربوط به سیاستمداران، وزارتخانه‌های امور خارجه و فعالیت‌های نظامی بوده است». تیم تحقیقاتی Cortex Threat این شرکت در حال ردیابی این اقدامات است که فعلاً به طور موقت با نام CL-STA-۰۰۴۳ شناخته می‌شود و از آن به عنوان یک تهدید واقعی و دائمی پیشرفته یاد کرده است.

این حمله سایبری با بهره‌برداری از سرویس‌های اطلاعات اینترنتی (IIS) آسیب‌پذیر داخلی و سرور‌های مایکروسافت اکسچینج برای نفوذ به شبکه‌های هدف آغاز می‌شود. محققان در Palo Alto Networks توانسته‌اند تلاش‌های ناموفق برای اجرای پوسته (شِل) وب China Chopper را در یکی از حملات شناسایی کنند که این امر موجب شده است تا مهاجمان روش خود را تغییر دهند و از ایمپلنت ویژوال بیسیک اسکریپت درون حافظه از سرور اکسچینج استفاده کنند.

یک حمله موفقیت‌آمیز با شناسایی و بررسی شبکه و جداسازی سرور‌های مهمی مانند کنترل‌کننده‌های دامنه، سرور‌های وب، سرور‌های اکسچینج، سرور‌های FTP و پایگاه‌های داده SQL که داده‌های ارزشمندی را در خود نگه می‌دارند انجام می‌شود.
طبق مشاهدات مشخص شده است که CL-STA-۰۰۴۳ از ابزار‌های بومی ویندوز برای افزایش نفوذ استفاده می‌کند و در نتیجه می‌تواند حساب‌های مدیریتی ایجاد و برنامه‌های مورد نظر را با اختیاراتی که به دست آورده اجرا کند.

یکی دیگر از روش‌های نفوذی و افزایش اختیار، سوء استفاده از ویژگی‌های دسترسی در ویندوز یعنی sethc. exe است که امکان دور زدن الزامات لاگین و بَک‌دور سیستم‌ها را فراهم می‌سازد. روچبرگر توضیح می‌دهد: «در حمله، مهاجم معمولاً باینری sethc. exe یا پوینتر/ارجاع را با این باینری‌ها در رجیستری به کمک cmd. exe جایگزین می‌کند. در صورت اجرایی شدن، پوسته فرمان در اختیار مهاجم قرار می‌گیرد تا او دستورات دلخواه و ابزار‌های دیگر را اجرا کند». رویکرد مشابهی با استفاده از utilman. exe برای یافتن دسترسی دائم به بَک‌دور توسط CrowdStrike در اوایل ماه آوریل ۲۰۲۳ شناسایی و ثبت شده بود.

علاوه بر استفاده از Mimikatz برای سرقت اعتبار، شیوه عملیاتی مهاجمان به خاطر استفاده از روش‌های جدید دیگر جهت سرقت گذرواژه‌ها، انجام عملیات جانبی و استخراج داده‌های حساس مورد توجه قرار گرفته است. این روش‌ها عبارتند از:

• استفاده از ارائه‌دهندگان خدمات شبکه‌ای برای اجرای DLL مخرب جهت جمع‌آوری و انتقال گذرواژه‌های متنی ساده به یک سرور از راه دور
• استفاده از یک مجموعه ابزار تست نفوذ منبع باز به نام Yasso برای گسترش در سراسر شبکه
• و استفاده از ابزار‌های جانبی اسنپ-این شِل و پاورشل مدیریتی اکسچینج برای جمع‌آوری اطلاعات ایمیل‌های مورد نظر.

شایان ذکر است که استفاده از اسنپ-این‌های پاورشل اکسچینج برای انتقال داده‌های ایمیل قبلاً در خصوص یک گروه تحت حمایت دولت چین به نام Silk Typhoon (که نام سابق آن Hafnium بود) گزارش شد که اولین بار در مارس ۲۰۲۱ در رابطه با بهره‌برداری سرور مایکروسافت اکسچینج شناسایی شده بود.
روچبرگر گفت: «تحقیقات درباره سطح پیچیدگی، انطباق و قربانی‌شناسی نشان می‌دهد که با گروهی بسیار قوی روبرو هستیم».

منبع: هکرنیوز