مهاجمان در قالب گروهی به نام «کبرای پنهان (HIDDEN COBRA)» تروجان مخرب Volgmer را منتشر کردهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پس از ارائه هشدارهای مشترک وزارت امنیت داخلی و پلیس فدرال آمریکا در رابطه با فعالیت باجافزارها مشخص شد که باجافزار «Volgmer» فعالیت مخرب خود را روی زیرساختهایی مانند آدرسهای اینترنتی (IP) و سایر شاخصهای ارتباطی اجرا کردهاست. دولت آمریکا، مجدداً کره شمالی را مقصر اصلی و سازنده این تروجان اعلام کردهاست. در این میان سیستمهای شبکه از مهمترین تجهیزات و زیرساختهای تحت حمله توسط این تروجان شناخته شدهاند.
مهاجمان در قالب گروهی به نام «کبرای پنهان (HIDDEN COBRA)»، این تروجان را منتشر کردهاند.
تروجان نامبرده بهعنوان یکی از درِ پشتیهای مورداستفاده در زیرساختها به شمار میرود که برای دسترسی پنهان به سیستمهای آسیبدیده طراحی شدهاست. این در حالی است که سازندگان این بدافزار از قابلیتهای تروجان ساختهشده، زیرساختهای صنایع دولتی، مالی، خودرویی و رسانهای را تحت حملات خود قرار دادهاند. بررسیهای انجامشده حاکی از آن است که بدافزار نامبرده فعالیت خود را در وهله اول با استفاده از حملات فیشینگ اجرا میکند.
پس از شناسایی IP آدرسهای استاتیک موجود در زیرساختهای سیستم شبکه مشخص شد که بدافزار نامبرده با استفاده از نفوذ به حداقل ۹۴ آدرس مختلف و آدرسهای پویا، فعالیت خود را در کشورهای مختلف اجرا کردهاست که در زیر بیشترین درصد استفاده از این آدرسها را نشان داده شدهاست.
• هند، ۷۷۲ آدرس ۲۵.۴ درصد
• ایران، ۳۷۳ آدرس ۱۲.۳ درصد
• پاکستان، ۳۴۳ آدرس، ۱۱.۳ درصد
• عربستان سعودی، ۱۸۲ آدرس، ۶ درصد
• تایوان، ۱۶۹ آدرس، ۵.۶ درصد
• تایلند، ۱۴۰ آدرس ۴.۶ درصد
• سریلانکا، ۱۲۱ آدرس، ۴ درصد
• چین، ۸۲ آدرس که سهم هنگکنگ ۱۲ آدرس با ۲.۷ درصد
• ویتنام، ۸۰ آدرس،۲.۶ درصد
• اندونزی، ۶۸ آدرس، ۲.۲ درصد
• روسیه، ۶۸ آدرس، ۲.۲ درصد
ازجمله تواناییهای این بدافزار میتوان به جمعآوری اطلاعات سیستم، بهروزرسانی کلیدهای رجیستری سرویس، بارگیری و آپلود فایلها، اجرای دستورات اشاره کرد و همچنین در آخرین بررسیها، کنترل بوت را نیز میتوان به قابلیتهای این بدافزار اضافه کرد.
محتویات «Volgmer» در فرم ۳۲ بیتی بهعنوان فایلهای قابل اجرا یا کتابخانه پویا (dll.) مشاهده شدهاست. این بدافزار با استفاده از یک پروتکل باینری سفارشی برای بازگشت به سرور کنترل و فرمان (C2) استفاده میکند که اغلب از طریق پورت TCP ۸۰۸۰ یا ۸۰۸۸ است. همچنین تروجان فوق برای ایجاد اختلال در ارتباطات از رمزگذاری SSL استفاده میکند.