محققان از حملههای پیشرفته به دولتهای مستقر در منطقه پرده برداشتند.
به گزارش گرداب، نهادهای دولتی در خاورمیانه و آفریقا هدف حملات جاسوسی سایبری قرار گرفتهاند که در آنها از روشهای جدید و بیسابقه برای سرقت اطلاعات و تبادل ایمیل استفاده شده است. لیور روچبرگر (Lior Rochberger) محقق ارشد تهدیدات در Palo Alto Networks، طبق بررسی عمیقی که انجام داده است میگوید: «هدف اصلی این حملات به دست آوردن اطلاعات بسیار محرمانه و حساس مخصوصاً اطلاعات مربوط به سیاستمداران، وزارتخانههای امور خارجه و فعالیتهای نظامی بوده است». تیم تحقیقاتی Cortex Threat این شرکت در حال ردیابی این اقدامات است که فعلاً به طور موقت با نام CL-STA-۰۰۴۳ شناخته میشود و از آن به عنوان یک تهدید واقعی و دائمی پیشرفته یاد کرده است.
این حمله سایبری با بهرهبرداری از سرویسهای اطلاعات اینترنتی (IIS) آسیبپذیر داخلی و سرورهای مایکروسافت اکسچینج برای نفوذ به شبکههای هدف آغاز میشود. محققان در Palo Alto Networks توانستهاند تلاشهای ناموفق برای اجرای پوسته (شِل) وب China Chopper را در یکی از حملات شناسایی کنند که این امر موجب شده است تا مهاجمان روش خود را تغییر دهند و از ایمپلنت ویژوال بیسیک اسکریپت درون حافظه از سرور اکسچینج استفاده کنند.
یک حمله موفقیتآمیز با شناسایی و بررسی شبکه و جداسازی سرورهای مهمی مانند کنترلکنندههای دامنه، سرورهای وب، سرورهای اکسچینج، سرورهای FTP و پایگاههای داده SQL که دادههای ارزشمندی را در خود نگه میدارند انجام میشود.
طبق مشاهدات مشخص شده است که CL-STA-۰۰۴۳ از ابزارهای بومی ویندوز برای افزایش نفوذ استفاده میکند و در نتیجه میتواند حسابهای مدیریتی ایجاد و برنامههای مورد نظر را با اختیاراتی که به دست آورده اجرا کند.
یکی دیگر از روشهای نفوذی و افزایش اختیار، سوء استفاده از ویژگیهای دسترسی در ویندوز یعنی sethc. exe است که امکان دور زدن الزامات لاگین و بَکدور سیستمها را فراهم میسازد. روچبرگر توضیح میدهد: «در حمله، مهاجم معمولاً باینری sethc. exe یا پوینتر/ارجاع را با این باینریها در رجیستری به کمک cmd. exe جایگزین میکند. در صورت اجرایی شدن، پوسته فرمان در اختیار مهاجم قرار میگیرد تا او دستورات دلخواه و ابزارهای دیگر را اجرا کند». رویکرد مشابهی با استفاده از utilman. exe برای یافتن دسترسی دائم به بَکدور توسط CrowdStrike در اوایل ماه آوریل ۲۰۲۳ شناسایی و ثبت شده بود.
علاوه بر استفاده از Mimikatz برای سرقت اعتبار، شیوه عملیاتی مهاجمان به خاطر استفاده از روشهای جدید دیگر جهت سرقت گذرواژهها، انجام عملیات جانبی و استخراج دادههای حساس مورد توجه قرار گرفته است. این روشها عبارتند از:
• استفاده از ارائهدهندگان خدمات شبکهای برای اجرای DLL مخرب جهت جمعآوری و انتقال گذرواژههای متنی ساده به یک سرور از راه دور
• استفاده از یک مجموعه ابزار تست نفوذ منبع باز به نام Yasso برای گسترش در سراسر شبکه
• و استفاده از ابزارهای جانبی اسنپ-این شِل و پاورشل مدیریتی اکسچینج برای جمعآوری اطلاعات ایمیلهای مورد نظر.
شایان ذکر است که استفاده از اسنپ-اینهای پاورشل اکسچینج برای انتقال دادههای ایمیل قبلاً در خصوص یک گروه تحت حمایت دولت چین به نام Silk Typhoon (که نام سابق آن Hafnium بود) گزارش شد که اولین بار در مارس ۲۰۲۱ در رابطه با بهرهبرداری سرور مایکروسافت اکسچینج شناسایی شده بود.
روچبرگر گفت: «تحقیقات درباره سطح پیچیدگی، انطباق و قربانیشناسی نشان میدهد که با گروهی بسیار قوی روبرو هستیم».
منبع: هکرنیوز