گروه جاسوسیِ سایبری منتسب به چین، با بدافزارها و روشهایی تازه، سامانههای نظامی و هوافضا در کشورهای روسیه و بلاروس را هدف قرار دادهاست.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
گروه جاسوسیِ سایبری منتسب به چین، با بدافزارها و روشهایی تازه، سامانههای نظامی و هوافضا در کشورهای روسیه و بلاروس را هدف قرار دادهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تیرماه سال جاری، محققان گروه پروفپوینت گزارش دادند که مهاجمانِ این گروه با استفاده از تروجانِ پیشرفته NetTraveler روسیه و سایر کشورهای همسایه را هدف قرار دادهاند. اینک محققان کشف کردند که این گروه جاسوسی همزمان از بارگیریکنندهای به نام ZeroT و کامپایلر کمکی HTML متعلق به شرکت مایکروسافت (chm.) برای توزیع بدافزار PlugX استفاده میکند.
مهاجمان، پرونده chm. را برای قربانیان ارسال میکنند که حاوی پرونده HTML و یک پرونده اجرایی دیگر است. زمانی که پرونده کمکی HTML باز شود، یک متن به زبان روسی نمایش دادهشده و از کاربر خواسته میشود از طریق کنترل حساب کاربری (UAC) اجازه اجرای برنامه ناشناختهای را صادر کند. اگر قربانی با این درخواست موافقت کند، بارگیریکننده ZeroT روی سامانه قربانی نصب خواهدشد.
مشابه حملات قبلی، این گروه جاسوسی از اسناد ورد جعلی نیز استفاده میکنند. این اسناد توسط ابزار تولیدکننده بهرهبرداری با نام MNKit ایجاد میشود. این ابزار به محققان کمک کرده تا ارتباط بین چند گروه نفوذ و جاسوسی را کشف کنند که ممکن است خارج از کشور چین باشند.
رایانامهها و پروندههای جعلی که در این حملات از آنها استفاده میشود، به کشورهای مستقل مشترکالمنافع ارجاع داده میشود که اتحادیهای از جماهیر شوروی سابق، دولت روسیه و وزارت دفاع روسیه است.
این گروه جاسوسی همچنین برای توزیع ZeroT از ویژگی خود-استخراجی پروندههای آرشیوی RAR استفاده میکند. در بسیاری از پروندههای آرشیوی یک پرونده اجرایی با نام Go.exe وجود دارد که برای دور زدن کنترل حساب کاربری (UAC) در ویندوز بهکار میرود.
پس از آلوده شدن سامانه قربانی، بارگیریکننده ZeroT با کارگزار دستور و کنترل ارتباط برقرار میکند و اطلاعاتی در مورد سامانه آلوده را روی این کارگزار بارگذاری میکند. بارگیریکننده ZeroT در ادامه یک نسخه شناساییشده از تروجان PlugX را بارگیری میکند. این تروجان یا در قالب یک بار داده کدگذارینشده یا در قالب یک پرونده تصویری با فرمت bmp. بارگیری میشود. در این پرونده تصویری با استفاده از روشهای نهاننگاری، بدافزار موردنظر مخفی شدهاست.
محققان پروفپوینت اعلام کردند دامنههای متعلق به کارگزار دستور و کنترل ZeroT، قبلاً در حملات NetTraveler نیز مشاهده شدهاست. در نمونههای تروجان PlugX دامنههایی دیده شده که در پویشهای سال ۲۰۱۵ مشاهده شدهبود. محققان پروفپوینت اشاره کردند این گروه جاسوسیِ چینی به احتمال زیاد، گستره حملات خود را به کشورهای روسیه و اروپا افزایش خواهدداد.