یک کمپین امنیت سایبری با استفاده از بدافزار جدیدی که برای ارتباطات فرماندهی و کنترل به فیس بوک ، Google Drive و Dropbox متکی است ، توسط شرکت امنیت سایبری Cybereason کشف شده است.
گروه هکرهای Molerats در پشت این کمپین جدید قرار دارند که از دو درب پشتی جدید به نام SharpStage و DropBook و همچنین یک بدافزار بارگیری نشده بدون اسناد به نام MoleNet برای سو abuse استفاده از خدمات رایانش ابری محبوب استفاده می کند.
این بدافزار برای جلوگیری از شناسایی با استفاده از سرویس های Dropbox و Facebook برای سرقت اطلاعات و دریافت دستورالعمل از اپراتورهای خود طراحی شده است. به محض سرقت اطلاعات از کاربران هدف ، هر دو درب پشتی از Dropbox برای استخراج آن استفاده می کنند.
این کمپین چهره های سیاسی یا مقامات دولتی در خاورمیانه را با یک ایمیل که آنها را برای بارگیری اسناد مخرب جذب می کند ، هدف قرار می دهد. با این حال ، این سند فقط خلاصه ای از محتوای آن را نشان می دهد و سپس به گیرندگان دستور داده می شود بایگانی های محافظت شده با رمز عبور را که در Dropbox یا Google Drive ذخیره شده اند ، بارگیری کنند تا همه اطلاعات را مشاهده کنند. به این ترتیب Molerats می تواند با پشت درهای SharpStage و DropBook خود کاربران را آلوده کند و سپس بدافزارهای اضافی را بارگیری کند.
سو Ab استفاده از سیستم عامل های ابری
طبق گزارش جدیدی از تیم Nocturnus Cybereason ، درپشتی DropBook مستقر در Phyton فقط دستورالعمل ها را از طریق Facebook و از برنامه Simplenote یادداشت برداری iOS دریافت می کند. سپس هکرها با استفاده از دستوراتی که در یک پست در فیس بوک منتشر شده و Simplenote به عنوان پشتیبان تهیه می شود ، می توانند در پشت در را کنترل کنند.
DropBook قادر است برنامه های نصب شده و نام فایل های سیستم را بررسی کند ، دستورات پوسته را از Facebook یا Simplenote اجرا کند و بارهای اضافی را از Dropbox دریافت کند. دیگر درب پشتی Molerats SharpStage به یک سرور کنترل و فرمان سنتی وابسته است و نه استفاده از سرویس های ابری برای دستورالعمل ها.
در حالی که Cybereason سه نوع SharpStage را کشف کرد ، همه آنها دارای ویژگی های مشابهی از جمله توانایی عکس گرفتن از صفحه ، اجرای دستورات دلخواه و فشرده سازی داده های دریافت شده از سرور فرمان و کنترل هستند. هر دو در پشتی برای هدف قرار دادن کاربران عرب زبان استفاده می شود و کد آنها می تواند ماشین های در معرض خطر را بررسی کند تا ببیند آیا زبان عربی نصب شده است.
شرکت امنیت سایبری همچنین دریافت که Molerats از بدافزار دیگری به نام MoleNet استفاده می کند که می تواند با استفاده از دستورات WMI پروفایل سیستم عامل ، بررسی اشکال زدایی ، راه اندازی مجدد دستگاه از خط فرمان ، بارگذاری جزئیات سیستم عامل ، بارگیری بار جدید و ایجاد پایداری در سیستم عامل سیستم هدفمند
با استفاده از سیستم عامل های رایج ابر برای برقراری ارتباط با بدافزار خود ، گروه Molerats تلاش برای جاسوسی خود را بسیار دشوارتر کرده است. کاربران علاقه مند می توانند برای کسب اطلاعات بیشتر در مورد فعالیت های اخیر این گروه ، زیرساخت ها و بدافزارهای قبلی ، اطلاعات کامل Miberats Cybereason را در گزارش Cloud بررسی کنند.
- ما همچنین بهترین خدمات VPN را برجسته کرده ایم
از طریق BleepingComputer
منبع: tadrisriazi-news.ir
آخرین دیدگاهها