بهره‌گیری MuddyWater از شیوه‌های جدید برای کشف نشدن
کد مطلب: 15387
تاریخ انتشار : چهارشنبه ۱ خرداد ۱۳۹۸ ساعت ۱۲:۵۱
 
شرکت سیسکو اعلام کرد گروه مادی واتر (MuddyWater APT) در کمپین بدافزاری جدید خود به منظور جلوگیری از شناسایی شدن از شیوه‌های تازه‌ای استفاده می‌کند.
بهره‌گیری MuddyWater از شیوه‌های جدید برای کشف نشدن
 
 
Share/Save/Bookmark
شرکت سیسکو اعلام کرد گروه مادی واتر (MuddyWater APT) در کمپین بدافزاری جدید خود به منظور جلوگیری از شناسایی شدن از شیوه‌های تازه‌ای استفاده می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، متخصصان امنیتی واحد تالوس شرکت سیسکو به تازگی کمپینی به نام «بلک واتر» (BlackWater) را شناسایی کرده و به گروه مادی واتر (MuddyWater APT) نسبت دادند. این گروه با نام‌های دیگری مانند «سید ورم» (SeedWorm) و «تمپ زاگرس» (TEMP.Zagros) نیز شناخته شده و ادعا می‌شود وابسته به دولت ایران است.

متخصصان توضیح دادند گروه جاسوسی سایبری یاد شده از طریق اضافه کردن سه گام به عملیات خود به منظور جلوگیری از تشخیص، تکنیک‌ها، روش‌ها و روندهای (TTP) خود را به‌روز‌رسانی کرده‌اند.

اولین فعالیت مادی واتر در اواخر سال ۲۰۱۷ شناسایی شد که نهادهای مختلفی را در سرتاسر آسیای غربی هدف قرار داده بودند. کارشناسان ادعا می‌کنند گروه یاد شده در بازه‌زمانی فوریه تا اکتبر ۲۰۱۷، به نهادهای مختلفی در عربستان، عراق، اسراییل، امارات متحده عربی، گرجستان، هند، پاکستان، ترکیه و آمریکا حمله کرده‌اند. این مهاجمان به صورت پیوسته روش‌های حمله‌ جدیدی را به‌کار گرفته‌اند.

از طرفی محققان فایرآی نیز در مارس ۲۰۱۸ ادعا کردند که گروه تمپ زاگرس در بازه زمانی ژانویه تا مارس همان سال کشورهایی آسیایی و منطقه آسیای غربی را هدف قرار داده‌اند.

هکرهای یاد شده معمولاً از اسنادی استفاده می‌کنند که دارای قالب موضوعات ژئوپلیتیک است. برای نمونه در چندین مورد از قالب اسناد مجلس ملی پاکستان یا موسسه تحقیق و توسعه فناوری بانکی هند (IDRBT) بهره گرفته‌اند.

شرکت ترندمیکرو نیز در ژانویه در ۲۰۱۸ مدعی شد نوعی حمله‌ جدید را شناسایی کرده‌است که در آن از اسناد و اسکریپت پاورشل آلوده استفاده‌می‌شود. در این حمله سید ورم سعی داشت یک بک‌در بر پایه پاورشل را با هدف جاسوسی روی سیستم قربانی نصب کند.

سید ورم در کمپین جدید خود با نام بلک واتر، یک مایکرو آلوده برنامه کاربردی ویژوال‌بیسیک (VBA) را به «Run registry key» اضافه می‌کند تا پایداری بدافزار خود را افزایش دهد. سپس از دستورات پاورشل استفاده‌می‌شود تا تروجانی بر پایه پاورشل را از سرور فرماندهی و کنترل به سامانه‌ آلوده منتقل کنند.

پژوهشگران تالوس در گزارش خود نوشته‌اند اقدامات یاد شده به هکرها اجازه می‌دهد روی لاگ‌های وب نظارت داشته‌باشند و سیستم‌های آلوده نشده‌ جدید را شناسایی کنند. از طرفی شناسایی کمپین نیز مشکل‌تر می‌گردد.

پژوهشگران مدعی هستند جاسوسان سایبری یاد شده، همچنین چندین رشته متغیر را دست‌کاری می‌کنند تا از شناسایی شدن توسط یارا (Yara) جلوگیری به عمل آید. یارا نام نرم‌افزاری است که معمولاً در تحقیق و شناسایی بدافزارها به‌کار گرفته‌می‌شود.

مهاجمان از یک سند آلوده در حمله‌ خود استفاده می‌کنند. زمانی که این فایل باز می‌شود یک مایکرو با نام «BlackWater.bas» شروع به فعالیت می‌کند. از این مایکرو با رمز عبور محافظت می‌شود تا کاربر نتواند به کدهای ویژوال‌بیسیک آن دسترسی داشته‌باشد.
مرجع : سایبربان