افتانا - استفاده هکرهای چینی از Google Drive برای نفوذ به شبکه‌های دولتی

استفاده هکرهای چینی از Google Drive برای نفوذ به شبکه‌های دولتی

تحقیقات نشان می‌دهد که هکرهای چینی این روزها از گوگل درایو برای نفوذ به شبکه‌های دولتی و آلوده کردن آن‌ها به بدافزار هستند.

اختصاصی افتانا: تحقیقات نشان می‌دهد که هکرهای چینی این روزها از گوگل درایو برای نفوذ به شبکه‌های دولتی و آلوده کردن آن‌ها به بدافزار هستند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات) به نقل از Cybersecurity News، موسسات دولتی، تحقیقاتی و دانشگاهی در سراسر جهان هدف یک کمپین اسپیرفیشینگ (spearphishing) توسط هکرهای چینی با بودجه دولتی قرار گرفتند. به عنوان بخشی از این کمپین، هکرها بدافزار سفارشی را ارائه می‌کنند که در گوگل درایو (Google Drive) پنهان است.

محققان، این حملات را به گروهی از هکرهای جاسوسی سایبری معروف به Earth Preta (با نام مستعار موستانگ پاندا، رئیس جمهور برنزی، TA416) یک گروه APT نسبت می‌دهند و محققان Trend Micro بر عملکرد این گروه بین مارس تا اکتبر ۲۰۲۲ نظارت داشتند.

هکرهای چینی در تلاش برای فریب اهداف خود برای دانلود بدافزار سفارشی از گوگل درایو، از ایمیل‌های مخرب با چندین فریب از طریق حساب‌های گوگل استفاده کردند.

هدف‌ها
عمدتاً سازمان‌هایی در کشورهای استرالیا، ژاپن، تایوان، میانمار و فیلیپین هدف این گروه هکری قرار گرفته‌اند.

اکثر پیام‌هایی که هکرها به سازمان‌های دولتی و حقوقی ارسال می‌کردند، یعنی حدود ۸۴ درصد، موضوع ژئوپلیتیک داشتند.

در میان چندین سازمان، سازمان‌های دولتی، حقوقی، تحصیلی، تجاری، اقتصادی و سیاسی عمدتاً هدف قرار می‌گیرند.

زنجیره تأثیرگذاری
بر اساس گزارش Trend Micro، پیوندهای جاسازی شده به یک پوشه گوگل درایو یا دراپ‌باکس (Dropbox) پیوند داده می‌شوند تا مکانیسم‌های امنیتی را دور بزنند. این دو پلتفرم شهرت خوبی دارند و مشروع هستند، در نتیجه شک کمتری پیرامون آن‌ها وجود دارد.

این پیوندها قربانی را به فایل‌های فشرده‌ای مانند BAR، ZIP یا JAR منتقل می‌کند.

از سویه‌های بدافزاری که در فایل‌ها موجود است می توان به ToneShell، ToneIns و PubLoad اشاره کرد.

اگر موضوع ایمیل خالی است یا موضوع همان نام بایگانی مخرب است، احتمالاً یک ایمیل اسپم است. بسیاری از عادات بارگذاری بدافزار توسط هکرها استفاده می‌شد، اما DLLهای بارگذاری جانبی رایج‌ترین رویکرد در این کمپین بود.

استیجرهایی مانند PubLoad کار بسیار خوبی برای ایجاد پایداری از طریق روش‌های افزودن کلیدهای رجیستری، ایجاد وظایف برنامه‌ریزی شده، رمزگشایی پوسته کد، مدیریت ارتباطات فرمان و کنترل (C۲) انجام می‌دهند.

با معرفی PubLoad، موستانگ پاندا اقداماتی را برای بهبود بیشتر این ابزار با گنجاندن مکانیسم‌های پیچیده‌تر برای تجزیه و تحلیل مبارزه انجام داده است.

در کمپین اخیر، ToneIns به عنوان در پشتی اصلی برای نصب ToneShell استفاده شد. ToneShell به منظور جلوگیری از شناسایی و بارگذاری کد مبهم به منظور ایجاد پایداری، بر روی سیستم در معرض خطر بارگذاری می‌شود.

در پشتی ToneShell مستقیماً در حافظه دانلود می‌شود و به عنوان یک در پشتی مستقل عمل می‌کند. پیاده‌سازی کنترل‌کننده‌های استثنای سفارشی، مبهم کردن جریان کد را فراهم می‌کند.

با انجام این کار، هکرهای چینی جمع‌آوری اطلاعات در مورد اهداف خود و نقض امنیت آن‌ها را آسان‌تر می‌کنند.

علی‌رغم داشتن دوره‌های فعالیت متمرکز، گزارش مارس ۲۰۲۲ ایزت نشان داد که موستانگ پاندا یک تهدید جاسوسی سایبری برای صنعت جهانی بدون توجه به فعالیت‌های متمرکز کوتاه‌مدت آن در جنوب شرقی آسیا، جنوب اروپا و آفریقاست.

توصیه‌های امنیتی
کارشناسان توصیه‌های زیر را به عنوان بخشی از یک برنامه کاهش برای یک سازمان پیشنهاد می‌کنند:

• شرکا و کارمندان را در آموزش آگاهی از فیشینگ به طور مداوم درگیر کنید.
• قبل از باز کردن ایمیل، مطمئن شوید که دو بار فرستنده و موضوع را تأیید کرده‌اید.
• همیشه از رمزهای عبور قوی و منحصر به فرد استفاده کنید.
• راه حل‌های حفاظت چند عاملی را فعال کنید.
• اطمینان حاصل کنید که از یک برنامه آنتی‌ویروس معروف استفاده می‌کنید.
• مطمئن شوید که رمز عبور خود را به طور مرتب تغییر می‌دهید.

منبع: Cybersecurity News