کارشناسان امنیت سایبری شرکت ترندمیکرو عملیاتی علیه کاربران سایتهای آنلاین قمار و شرطبندی در کشورهای جنوب شرقی آسیا، اروپا و خاورمیانه شناسایی کردند و به گروه DRBControl نسبت دادهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بهتازگی کارشناسان شرکت امنیت سایبری ترندمیکرو (Trend Micro) و تلنتجامپ (Talent-Jump) موجی از حملات سایبری شناسایی کردهاند که علیه کاربران سایتهای آنلاین قمار و شرطبندی در کشورهای جنوب شرقی آسیا، اروپا و خاورمیانه انجام شدهاست.
کارشناسان ترند میکرو عامل این حملات را گروه دیآربی کنترل (DRBControl) نامگذاری کردهاند. به اعتقاد آنها هدف اصلی گروه دیآربی جاسوسی بوده و اعضای آن به دنبال سرقت وجه نیستند و در حمله به شرکتها، سورسکدها و پایگاه دادههای آنها را سرقت میکنند.
گروه دیآربی حملات خود را با ارسال ایمیلهای فیشنگ آغاز کرده و به کارکنان شرکتهای هدف پیوستهای مخرب و تروجان ارسال میکند.
ابزارهای مورداستفاده این گروه بسیار شبیه ابزارهایی است که توسط گروههای هکری دولتی Winnti و Emissary Panda مورداستفاده قرار میگیرند.
دیآربی در حملات خود از دو درب پشتی ناشناخته و بدافزارهای PlugX و HyperBro بهره میگیرد.
برخی از درِ پشتیها از سرویس دراپباکس (Dropbox) بهعنوان سرور کنترل (C&C) استفاده میکنند و به همین دلیل نیز کارشناسان ترند میکرو این گروه را DRopBox Control نامگذاری کردهاند.
اعضای این گروه با بهرهگیری از درِ پشتیها اقدام به بارگیری دیگر بدافزارها و ابزارهای هکری میکنند که قادرند اطلاعات باارزش را شناسایی و سرقت کنند.
از میان ابزارهایی که توسط این گروه مورداستفاده قرار میگیرند میتوان به موارد زیر اشاره کرد:
ابزارهای اسکن سرورهای NETBIOST،
ابزارهای حملات بروت فورس،
ابزارهایی برای دور زدن Windows UAC،
ابزاری برای ترفیع امتیاز در هاست آلوده،
ابزاری برای سرقت پسورد هاستهای آلوده،
ابزار سرقت اطلاعات کلیپ بورد،
ابزار بارگیری و اجرای کدهای مخرب روی هاستهای آلوده،
ابزاری برای به دست آوردن آدرس IP عمومی ایستگاه کاری،
ابزاری برای ایجاد تونل به شبکههای خارجی.
به گفته کارشناسان این دو شرکت اعضای گروه یاده شده از ماه ژوییه ۲۰۱۹ تا ماه سپتامبر بیش از ۲۸۰ رایانه را با استفاده از دو اکانت دراپباکس آلوده کردهاند.