اخیرا گروه هکری ChamelGang که پیش از این ناشناخته بود، حملاتی را به مجتمع سوخت و انرژی و صنعت هوانوردی روسیه انجام داده است.
اخیرا گروه هکری ChamelGang که پیش از این ناشناخته بود، حملاتی را به مجتمع سوخت و انرژی و صنعت هوانوردی روسیه انجام داده است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مرکز روسی Positive Technologies اوhخر ماه سپتامبر ۲۰۲۱ از شناسایی یک گروه هکری جدید که پیش از این ناشناخته بود و اکنون با نام ChamelGang شناخته میشود، خبر داد.
این مرکز اعلام کرد، این گروه، روی سرقت اطلاعات سرورهای دولتی از کشورهایی مانند آمریکا، هند، نپال، تایوان، ژاپن و روسیه تمرکز کرده است. یکی از آخرین عملیات این گروه، حمله به مجتمع سوخت و انرژی و صنعت هوانوردی روسیه است.
این گروه از دامینهای فیشینگ و مخفی کردن بدافزار و زیرساختهای شبکه استفاده میکرد. برای مثال، دامینهایی را برمیگزید که از نام برندهای بزرگ فناوری مانند مایکروسافت، ترندمیکرو، مکآفی، آی.بی.ام تقلید میکرد.
این گروه با قرار دادن SSL در سرورها، خود را قانونی نشان میداد. بخش صنعتی مذکور در روسیه از سرویس اپلیکیشن پلتفرم JBoss Enterprise Application (متعلق به شرکت Redhat) و نسخه آسیبپذیر آن استفاده میکرد.
هکرها با استفاده از آسیبپذیری شناسه CVE-۲۰۱۷-۱۲۱۴۹ موفق به اجرای فرمانهای از راه دور شدند. آنها پس از دو هفته توانستند، شرکت مادر را نیز هدف قرار بدهند.
مهاجمان رمز عبور ادمین لوکال را در یکی از سرورها در یک بخش مجزا (ایزوله) به دست آوردند و از طریق پروتکل دسکتاپ از راه دور (RDP) به شبکه نفوذ کردند. مهاجمان به مدت سهماه در شبکه به شکل ناشناس ماندند.
آنها توانستند پس از این، کنترل بیشتر شبکه ازجمله سرورها و گرههای حیاتی در بخشهای مختلف را به دست آوردند. تحقیقات نشان میدهد که گروه فوق، بهطور خاص به دنبال دادهها بوده و موفق به سرقت آنها نیز شده است.
همچنین هکرها توانستند از آسیبپذیری مایکروسافت چنج با شناسههای CVE-۲۰۲۱-۳۴۴۷۳»،CVE-۲۰۲۱-۳۴۵۲۳» و CVE-۲۰۲۱-۳۱۲۰۷ استفاده کنند.
هکرها پس از دسترسی به سرورهای ایمیل شرکت مذکور، از درب پشتی استفاده کردند که آنتی ویروسها نیز توانایی شناسایی آن را نداشتند. آنها حدود هشت روز داخل زیرساخت سازمان بودند.
یکی از ویژگیهای این گروه، استفاده از بدافزارهای جدید به نامهای «ProxyT»، «BeaconLoader» و «DoorMe» بود. در این حمله از درِ پشتی موسوم به UNIX استفاده میشد.
بهعلاوه با استفاده از تکنیک هایجک DLL به همراه سرویس «DistributedTransaction Control» برای حضور و تشدید بیشتر حمله استفاده میکردند. این هکرها از برنامه آلوده«Cobalt Strike Beacon» برای کمک بهفرمان های اضافی استفاده میکردند.
در این حمله از برخی دیگر از برنامههای آلوده مانند Tiny Shell و FRP استفاده شد. محققان میگویند، این گروه پس از دسترسی موفق به دادهها، آنها را در وب سرورهای شبکههای قربانی قرار داد تا بعداً با استفاده از برنامه Wget دانلود کند. هکرها در این عملیات تلاش میکردند با استفاده از BeaconLoader وارد شبکه و گرههای آلوده شوند.