جمعه ۱۰ فروردين ۱۴۰۳ , 29 Mar 2024
جالب است ۰
قربانیان تازه برای هکرهای چینی

بدافزارهای چینی به روسیه و بلاروس حمله کردند

گروه جاسوسیِ سایبری منتسب به چین، با بدافزارها و روش‌هایی تازه، سامانه‌های نظامی و هوافضا در کشورهای روسیه و بلاروس را هدف قرار داده‌است.
منبع : وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات
گروه جاسوسیِ سایبری منتسب به چین، با بدافزارها و روش‌هایی تازه، سامانه‌های نظامی و هوافضا در کشورهای روسیه و بلاروس را هدف قرار داده‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تیر‌ماه سال جاری، محققان گروه پروف‌پوینت گزارش دادند که مهاجمانِ این گروه با استفاده از تروجانِ پیشرفته‌ NetTraveler روسیه و سایر کشورهای همسایه را هدف قرار داده‌اند. اینک محققان کشف کردند که این گروه جاسوسی همزمان از بارگیری‌کننده‌ای به نام ZeroT و کامپایلر کمکی HTML متعلق به شرکت مایکروسافت (chm.) برای توزیع بدافزار PlugX استفاده می‌کند.

مهاجمان، پرونده‌ chm. را برای قربانیان ارسال می‌کنند که حاوی پرونده‌ HTML و یک پرونده‌ اجرایی دیگر است. زمانی که پرونده‌ کمکی HTML باز شود، یک متن به زبان روسی نمایش داده‌شده و از کاربر خواسته می‌شود از طریق کنترل حساب کاربری (UAC) اجازه‌ اجرای برنامه‌ ناشناخته‌ای را صادر کند. اگر قربانی با این درخواست موافقت کند، بارگیری‌کننده‌ ZeroT روی سامانه‌ قربانی نصب خواهد‌شد.

مشابه حملات قبلی، این گروه جاسوسی از اسناد ورد جعلی نیز استفاده می‌کنند. این اسناد توسط ابزار تولیدکننده‌ بهره‌برداری با نام MNKit ایجاد می‌شود. این ابزار به محققان کمک کرده تا ارتباط بین چند گروه نفوذ و جاسوسی را کشف کنند که ممکن است خارج از کشور چین باشند.

رایانامه‌ها و پرونده‌های جعلی که در این حملات از آن‌ها استفاده می‌شود، به کشورهای مستقل مشترک‌المنافع ارجاع داده می‌شود که اتحادیه‌ای از جماهیر شوروی سابق، دولت روسیه و وزارت دفاع روسیه است.

این گروه جاسوسی همچنین برای توزیع ZeroT از ویژگی خود-استخراجی پرونده‌های آرشیوی RAR استفاده می‌کند. در بسیاری از پرونده‌های آرشیوی یک پرونده‌ اجرایی با نام Go.exe وجود دارد که برای دور زدن کنترل حساب کاربری (UAC) در ویندوز به‌کار می‌رود.
 
پس از آلوده شدن سامانه‌ قربانی، بارگیری‌کننده‌ ZeroT با کارگزار دستور و کنترل ارتباط برقرار می‌کند و اطلاعاتی در مورد سامانه‌ آلوده را روی این کارگزار بارگذاری می‌کند. بارگیری‌کننده ZeroT در ادامه یک نسخه‌ شناسایی‌شده از تروجان PlugX را بارگیری می‌کند. این تروجان یا در قالب یک بار داده‌ کدگذاری‌نشده یا در قالب یک پرونده‌ تصویری با فرمت bmp. بارگیری می‌شود. در این پرونده‌ تصویری با استفاده از روش‌های نهان‌نگاری، بدافزار مورد‌نظر مخفی شده‌است.

محققان پروف‌پوینت اعلام کردند دامنه‌های متعلق به کارگزار دستور و کنترل ZeroT، قبلاً در حملات NetTraveler نیز مشاهده شده‌است. در نمونه‌های تروجان PlugX دامنه‌هایی دیده شده که در پویش‌های سال ۲۰۱۵ مشاهده شده‌بود. محققان پروف‌پوینت اشاره کردند این گروه جاسوسیِ چینی به احتمال زیاد، گستره‌ حملات خود را به کشورهای روسیه و اروپا افزایش خواهد‌داد.
کد مطلب : 12330
https://aftana.ir/vdciupaz.t1arp2bcct.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی