مرکز داده ملی در آسیای مرکزی با حملات LucyMouse مواجه شد.
منبع : مرکز مدیریت راهبردی افتا ریاست جمهوری
مرکز داده ملی در آسیای مرکزی با حملات LucyMouse مواجه شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در ماه مارس حملاتی علیه یک مرکز داده ملی در آسیای مرکزی مشاهده شدهاست که بهنظر میرسد این حملات از پاییز سال ۲۰۱۸ فعال باشد. این حملات بسیار قابل توجه هستند، بهطوری که مهاجمان به طیف گستردهای از منابع دسترسی پیدا کردند. به اعتقاد پژوهشگران از این دسترسی سوءاستفاده شدهاست و به عنوان مثال مهاجمان با قرار دادن اسکریپتهای مخرب در سایتهای رسمی، حملات watering hole را انجام دادهاند.
مهاجمان در این حملات از تروجان HyperBro استفاده کردهاند که برچسبهای زمانی این تروجان از دسامبر ۲۰۱۷ تا ژانویه ۲۰۱۸ هستند. محصولات کسپرسکی عوامل مختلف این حملات را با موارد Trojan.Win۳۲.Generic، Trojan-Downloader.Win۳۲.Upatre و Backdoor.Win۳۲.HyperBro شناسایی میکند.
با توجه به ابزارها و روشهای استفادهشده در این حملات، پژوهشگران حملات را به گروه LucyMouse (شناختهشده با نامهای EmissaryPanda و APT۲۷) نسبت میدهند. علاوه بر این، دامنه سرور C&C آنها (update.iaacstudio[.]com) در حملات قبلی نیز استفاده شدهاست.
نهادهای دولتی ازجمله نهادهای موجود در آسیای مرکزی، قبلتر نیز هدف حملات این گروه بودهاند. با توجه به حملات watering hole روی وبسایتهای دولتی، به نظر میرسد که هدف این حملات دسترسی به صفحات وب از طریق مرکز داده است تا مهاجمان کدهای جاوااسکریپت را در آنها تزریق کنند.
نحوه آلودهسازی اولیه در مرکز داده هنوز مشخص نیست. حتی با توجه به اینکه LuckyMouse از آسیبپذیری CVE-۲۰۱۷-۱۱۸۸۲۲ (نقص در ویرایشگر روابط ریاضی در اسناد آفیس) استفاده میکند، اما پژوهشگران نمیتوانند ارتباط این آسیبپذیری با این حملات را اثبات کنند. ممکن است که مهاجمان از watering hole برای آلودهسازی مرکز داده استفاده کردهباشد.
سرور C&C اصلی این حملات به یک آدرس IP منتهی میشود که متعلق به شبکهای است که با یک روتر Mikrotik دارای نسخه firmware ۶,۳۴.۴، نگهداری میشود. پژوهشگران گمان میکنند که این روتر هک شده و به عنوان پاسخدهنده درخواستهای HTTP بدافزار از آن استفاده شدهاست.
همچنین اثراتی از تروجان HyperBro نیز در مرکز داده مشاهده شدهاست که از طریق حملات watering hole در مرکز نفوذ کردهاست.
بدافزار سه فایل را در سیستم قرار میدهد: IntgStat.exe که برای بارگیری DLL است، یک اجراکننده فایل DLL (pcalocalresloader.dll) و thumb.db. درنتیجه تمامی این مراحل، مرحله آخر تروجان به حافظه فرایند svchost.exe تزریق میشود.
وبسایتها به گونهای آلوده شدهاند که کاربران را به نمونههایی از ScanBox و BEeF هدایت میکنند.
اخیرا گروه LuckyMouse بسیار فعال بودهاست. نکته غیرمعمول این گروه هدف حملات آنها است. آنها یک مرکز داده ملی را مورد هدف قرار دادهاند تا به منابع ارزشمند دسترسی پیدا کنند و همچنین وبسایت رسمی را آلوده کنند. نکته جالب دیگر هک کردن روتر Mikrotik است. هنوز مقاصد اصلی این گروه مشخص نیست و گمان میرود که این فعالیتها مقدمهای برای رویکردهای مخفیانهای باشد.