کارشناسان کسپرسکی بدافزاری به نام MontysThree شناسایی کردند که در پی حملات هدفمندی علیه شرکتهای صنعتی است.
منبع : سایبربان
کارشناسان کسپرسکی بدافزاری به نام MontysThree شناسایی کردند که در پی حملات هدفمندی علیه شرکتهای صنعتی است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کارشناسان آزمایشگاه کسپرسکی بدافزاری به نام مانتیزتری (MontysThree) شناسایی کردند که متشکل از چندین ماژول مخرب بوده و حملات هدفمندی علیه شرکتهای صنعتی تدارک میبیند. اپراتورهای این بدافزار آن را بهاختصار MT۳ نامگذاری کرده و کارشناسان کسپرسی نام کامل آن را ذکر کردهاند.
مانتیزتری از سال ۲۰۱۸ فعالیت خود را آغاز کرده و با بهرهگیری از پنهاننگاری و سرویسهای ابری عمومی از دید آنتیویروسها مخفی میماند.
این بدافزار که از ۴ ماژول مخرب تشکیلشده از طریق حملات فیشینگ انتشار مییابد. ماژول اصلی آن از چندین الگوریتم رمزنگاری خصوصاً RSA جهت ارتباط با سرور کنترل و رمزگشایی دادههای پیکربندی استفاده میکند تا شناسایی نشود.
اپراتورهای این بدافزار پس از نفوذ به سیستم قربانی اقدام به جمعآوری اسناد مایکروسافت آفیس و فایلهای ادوبی آکروبات میکنند.
برخی ماژولهای این بدافزار اسکرینشات میگیرند تا اپراتورها تنظیمات محلی و شبکهای سیستم هدف را بررسی کنند و ببینند چه اندازه برایشان جذابیت دارد.
اطلاعات جمعآوریشده توسط بدافزار رمزگذاری شده و به سرویسهای ابری عمومی Dropbox ،Google Drive و Microsoft One Drive منتقل میشوند و از طریق آنها فایلهای جدید دریافت میشوند.
مانتیزتری که به زبان ++C نوشتهشده برای اینکه در سیستم قرار گیرد از پنل Windows Quick Launch بهره میگیرد و کاربران زمانی که برنامههای قانونی همچون مرورگرها را باز میکنند درواقع اولین ماژول این بدافزار را راهاندازی میکنند.
دنیس لِگِزو، کارشناس امنیت سایبری کسپرسکی در این خصوص اعلام کرد: توسعهدهندگان مانتیزتری از استانداردهای مطمئن رمزنگاری و پنهاننگاری سفارشسازی شده استفاده میکنند. سطح مهارت اپراتورهای این بدافزار به اندازه گروههای بزرگ APT نیست، اما همچنان مانتیزتری را توسعه داده و قابلیتها و ابزارهای جدیدی به آن اضافه میکنند. معتقدیم مانتیزتری اهداف معینی دارد و کمپینهایش طولانی خواهد بود.