حمله سایبری ChamelGang به مجتمع سوخت روسیه
کد مطلب: 18542
تاریخ انتشار : دوشنبه ۸ آذر ۱۴۰۰ ساعت ۱۳:۰۰
 
اخیرا گروه هکری ChamelGang که پیش از این ناشناخته بود، حملاتی را به مجتمع سوخت و انرژی و صنعت هوانوردی روسیه انجام داده است.
حمله سایبری ChamelGang به مجتمع سوخت روسیه
 
 
Share/Save/Bookmark
اخیرا گروه هکری ChamelGang که پیش از این ناشناخته بود، حملاتی را به مجتمع سوخت و انرژی و صنعت هوانوردی روسیه انجام داده است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مرکز روسی Positive Technologies  اوhخر ماه سپتامبر ۲۰۲۱ از شناسایی یک گروه هکری جدید که پیش از این ناشناخته بود و اکنون با نام ChamelGang شناخته می‌شود، خبر داد.

این مرکز اعلام کرد، این گروه، روی سرقت اطلاعات سرورهای دولتی از کشورهایی مانند آمریکا، هند، نپال، تایوان، ژاپن و روسیه تمرکز کرده است. یکی از آخرین عملیات این گروه، حمله به مجتمع سوخت و انرژی و صنعت هوانوردی روسیه است.

این گروه از دامین‌های فیشینگ و مخفی کردن بدافزار و زیرساخت‌های شبکه استفاده می‌کرد. برای مثال، دامین‌هایی را برمی‌گزید که از نام برندهای بزرگ فناوری مانند مایکروسافت، ترندمیکرو، مک‌آفی، آی.بی.ام تقلید می‌کرد.

این گروه با قرار دادن SSL در سرورها، خود را قانونی نشان می‌داد. بخش صنعتی مذکور در روسیه از سرویس اپلیکیشن پلتفرم JBoss Enterprise Application (متعلق به شرکت Redhat) و نسخه آسیب‌پذیر آن استفاده می‌کرد.

هکرها با استفاده از آسیب‌پذیری شناسه CVE-۲۰۱۷-۱۲۱۴۹ موفق به اجرای فرمان‌های از راه دور شدند. آن‌ها پس از دو هفته توانستند، شرکت مادر را نیز هدف قرار بدهند.

مهاجمان رمز عبور ادمین لوکال را در یکی از سرورها در یک بخش مجزا (ایزوله) به دست آوردند و از طریق پروتکل دسکتاپ از راه دور (RDP) به شبکه نفوذ کردند. مهاجمان به مدت سه‌ماه در شبکه به شکل ناشناس ماندند.

آنها توانستند پس از این، کنترل بیشتر شبکه ازجمله سرورها و گره‌های حیاتی در بخش‌های مختلف را به دست آوردند. تحقیقات نشان می‌دهد که گروه فوق، به‌طور خاص به دنبال داده‌ها بوده و موفق به سرقت آن‌ها نیز شده است.

همچنین هکرها توانستند از آسیب‌پذیری مایکروسافت چنج با شناسه‌های CVE-۲۰۲۱-۳۴۴۷۳»،CVE-۲۰۲۱-۳۴۵۲۳» و CVE-۲۰۲۱-۳۱۲۰۷ استفاده کنند.

هکرها پس از دسترسی به سرورهای ایمیل شرکت مذکور، از درب پشتی استفاده کردند که آنتی ویروس‌ها نیز توانایی شناسایی آن را نداشتند. آن‌ها حدود هشت روز داخل زیرساخت سازمان بودند.

یکی از ویژگی‌های این گروه، استفاده از بدافزارهای جدید به نام‌های «ProxyT»، «BeaconLoader» و «DoorMe» بود. در این حمله از درِ پشتی موسوم به UNIX استفاده می‌شد.

به‌علاوه با استفاده از تکنیک هایجک DLL به همراه سرویس «DistributedTransaction Control» برای حضور و تشدید بیشتر حمله استفاده می‌کردند. این هکرها از برنامه آلوده«Cobalt Strike Beacon» برای کمک به‌فرمان های اضافی استفاده می‌کردند.

در این حمله از برخی دیگر از برنامه‌های آلوده مانند Tiny Shell و FRP استفاده شد. محققان می‌گویند، این گروه پس از دسترسی موفق به داده‌ها، آن‌ها را در وب سرورهای شبکه‌های قربانی قرار داد تا بعداً با استفاده از برنامه Wget دانلود کند. هکرها در این عملیات تلاش می‌کردند با استفاده از BeaconLoader وارد شبکه و گره‌های آلوده شوند.
مرجع : سایبربان