شرکت سیسکو اعلام کرد گروه مادی واتر (MuddyWater APT) در کمپین بدافزاری جدید خود به منظور جلوگیری از شناسایی شدن از شیوههای تازهای استفاده میکند.
منبع : سایبربان
شرکت سیسکو اعلام کرد گروه مادی واتر (MuddyWater APT) در کمپین بدافزاری جدید خود به منظور جلوگیری از شناسایی شدن از شیوههای تازهای استفاده میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، متخصصان امنیتی واحد تالوس شرکت سیسکو به تازگی کمپینی به نام «بلک واتر» (BlackWater) را شناسایی کرده و به گروه مادی واتر (MuddyWater APT) نسبت دادند. این گروه با نامهای دیگری مانند «سید ورم» (SeedWorm) و «تمپ زاگرس» (TEMP.Zagros) نیز شناخته شده و ادعا میشود وابسته به دولت ایران است.
متخصصان توضیح دادند گروه جاسوسی سایبری یاد شده از طریق اضافه کردن سه گام به عملیات خود به منظور جلوگیری از تشخیص، تکنیکها، روشها و روندهای (TTP) خود را بهروزرسانی کردهاند.
اولین فعالیت مادی واتر در اواخر سال ۲۰۱۷ شناسایی شد که نهادهای مختلفی را در سرتاسر آسیای غربی هدف قرار داده بودند. کارشناسان ادعا میکنند گروه یاد شده در بازهزمانی فوریه تا اکتبر ۲۰۱۷، به نهادهای مختلفی در عربستان، عراق، اسراییل، امارات متحده عربی، گرجستان، هند، پاکستان، ترکیه و آمریکا حمله کردهاند. این مهاجمان به صورت پیوسته روشهای حمله جدیدی را بهکار گرفتهاند.
از طرفی محققان فایرآی نیز در مارس ۲۰۱۸ ادعا کردند که گروه تمپ زاگرس در بازه زمانی ژانویه تا مارس همان سال کشورهایی آسیایی و منطقه آسیای غربی را هدف قرار دادهاند.
هکرهای یاد شده معمولاً از اسنادی استفاده میکنند که دارای قالب موضوعات ژئوپلیتیک است. برای نمونه در چندین مورد از قالب اسناد مجلس ملی پاکستان یا موسسه تحقیق و توسعه فناوری بانکی هند (IDRBT) بهره گرفتهاند.
شرکت ترندمیکرو نیز در ژانویه در ۲۰۱۸ مدعی شد نوعی حمله جدید را شناسایی کردهاست که در آن از اسناد و اسکریپت پاورشل آلوده استفادهمیشود. در این حمله سید ورم سعی داشت یک بکدر بر پایه پاورشل را با هدف جاسوسی روی سیستم قربانی نصب کند.
سید ورم در کمپین جدید خود با نام بلک واتر، یک مایکرو آلوده برنامه کاربردی ویژوالبیسیک (VBA) را به «Run registry key» اضافه میکند تا پایداری بدافزار خود را افزایش دهد. سپس از دستورات پاورشل استفادهمیشود تا تروجانی بر پایه پاورشل را از سرور فرماندهی و کنترل به سامانه آلوده منتقل کنند.
پژوهشگران تالوس در گزارش خود نوشتهاند اقدامات یاد شده به هکرها اجازه میدهد روی لاگهای وب نظارت داشتهباشند و سیستمهای آلوده نشده جدید را شناسایی کنند. از طرفی شناسایی کمپین نیز مشکلتر میگردد.
پژوهشگران مدعی هستند جاسوسان سایبری یاد شده، همچنین چندین رشته متغیر را دستکاری میکنند تا از شناسایی شدن توسط یارا (Yara) جلوگیری به عمل آید. یارا نام نرمافزاری است که معمولاً در تحقیق و شناسایی بدافزارها بهکار گرفتهمیشود.
مهاجمان از یک سند آلوده در حمله خود استفاده میکنند. زمانی که این فایل باز میشود یک مایکرو با نام «BlackWater.bas» شروع به فعالیت میکند. از این مایکرو با رمز عبور محافظت میشود تا کاربر نتواند به کدهای ویژوالبیسیک آن دسترسی داشتهباشد.