هکرهای چینی با استفاده از یک بدافزار اقدام به سرقت اطلاعات حساس سازمانها میکنند.
۰
منبع : مرکز ماهر
مرکز ماهر: هکرهای چینی با استفاده از یک بدافزار اقدام به سرقت اطلاعات حساس سازمانها میکنند.
به گزارش افتانا، هکرهای چینی (MQsTTang-A) با دسترسی به فایلهای دارای رفتار معیوب قصد سرقت اطلاعات حساس را از سازمانهای هدف دارند.
جزئیات آسیبپذیری
Av، یک نوع پیشرفته از فناوری تشخیص ویروس میباشدکه فایلهایی که رفتار معیوب و مشکوک دارند را با استفاده از این فناوری شناسایی میکنند.
یک گروه از هکرهای چینی (MQsTTang) با استفاده از این فناوری (AV) بدافزاری طراحی کرده اند که فایلهای معیوب را شناسایی و شرایط دسترسی به اطلاعات حساس سازمانهای مختلف را ایجاد کرده اند .این گروه با تمرکز اولیه بر تایوان و اوکراین , انتخابات در حال انجام دولت و سازمانهای سیاسی در اروپا و آسیا را مورد هدف قرار داده است.
ایمیلهای Spear - phishing (فیشینگ هدفمند) فایلهای معیوب ارجح برای فعالیت این بدافزار هستند.
عملکرد این بدافزار براساس گزارش ESET , MQsTTang بدین صورت است که این بد افزار قابلیتهای اجرای فرمان از راه دور را در کامپیوتر قربانی فراهم میکند و پس از اجرای فرمان ،خود را در کامپیوتر قربانی کپی میکند و با ایجاد یک کلید رجیستری جدید در مسیر زیرشرایط را برای فعال سازی بدافزار هنگام راهاندازی سیستم به وجود میآورد:
این بدافزار دارای توانایی ذاتی برای مقاومت در برابر شناسایی توسط مدافعان است.
بدافزار MQsTTang برای شناسایی نشدن، از مکانیزمیبرای تشخیص ابزارهای عیب یابی یا نظارت بر روی سیستم میزبان استفاده میکند. اگر چنین ابزارهایی شناسایی شوند، بدافزار رفتار خود را برای جلوگیری از شناسایی با آن ابزار تطبیق میدهد.
این بدافزار از پروتکل MQTT برای تسهیل ارتباط بین سرور فرمان و کنترل استفاده میکند.
پروتکل: MQTT پروتکل MQTT یک پروتکل ساده است که بر روی بستر TCP/IP سوار شده است و انتقال اطلاعات را بر اساس Socket انجام میدهد، هدرهای مورد استفاده در MQTT حجم خیلی کمیدارند و این امر باعث کاهش حجم ترافیک در تبادلات شده و هم چنین باعث سادگی پروتکل میشود
ارتباط از طریق یک کارگزار را تسهیل میکند و زیرساخت مهاجم را پنهان نگه میدارد.
توصیههای امنیتی
ماهیت حملات Spear Phishing به گونهای است که شناسایی آنها بسیار دشوار است و متأسفانه هیچ ابزار و روش فنی کامل و کارآمدی برای توقف وجود ندارد.
بهترین روش دفاع در برابر حملات فیشینگ هدفمند، استفاده از خرد انسانی است و اینکه سازمانها برای حفاظت بهتر باید زیرساختهای امنیتی عمیق (مانند احراز هویت دوعاملی (۲FA) و سیاستهای مربوط به مدیریت پسوردها) در مقابل این بدافزار داشته باشند .
همچنین به کاربران توصیه میشود برای مقابله با این بدافزار از ضد بدافزار بهروزشده استفاده کنند.
به گزارش افتانا، هکرهای چینی (MQsTTang-A) با دسترسی به فایلهای دارای رفتار معیوب قصد سرقت اطلاعات حساس را از سازمانهای هدف دارند.
جزئیات آسیبپذیری
Av، یک نوع پیشرفته از فناوری تشخیص ویروس میباشدکه فایلهایی که رفتار معیوب و مشکوک دارند را با استفاده از این فناوری شناسایی میکنند.
یک گروه از هکرهای چینی (MQsTTang) با استفاده از این فناوری (AV) بدافزاری طراحی کرده اند که فایلهای معیوب را شناسایی و شرایط دسترسی به اطلاعات حساس سازمانهای مختلف را ایجاد کرده اند .این گروه با تمرکز اولیه بر تایوان و اوکراین , انتخابات در حال انجام دولت و سازمانهای سیاسی در اروپا و آسیا را مورد هدف قرار داده است.
ایمیلهای Spear - phishing (فیشینگ هدفمند) فایلهای معیوب ارجح برای فعالیت این بدافزار هستند.
عملکرد این بدافزار براساس گزارش ESET , MQsTTang بدین صورت است که این بد افزار قابلیتهای اجرای فرمان از راه دور را در کامپیوتر قربانی فراهم میکند و پس از اجرای فرمان ،خود را در کامپیوتر قربانی کپی میکند و با ایجاد یک کلید رجیستری جدید در مسیر زیرشرایط را برای فعال سازی بدافزار هنگام راهاندازی سیستم به وجود میآورد:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
این بدافزار دارای توانایی ذاتی برای مقاومت در برابر شناسایی توسط مدافعان است.
بدافزار MQsTTang برای شناسایی نشدن، از مکانیزمیبرای تشخیص ابزارهای عیب یابی یا نظارت بر روی سیستم میزبان استفاده میکند. اگر چنین ابزارهایی شناسایی شوند، بدافزار رفتار خود را برای جلوگیری از شناسایی با آن ابزار تطبیق میدهد.
این بدافزار از پروتکل MQTT برای تسهیل ارتباط بین سرور فرمان و کنترل استفاده میکند.
پروتکل: MQTT پروتکل MQTT یک پروتکل ساده است که بر روی بستر TCP/IP سوار شده است و انتقال اطلاعات را بر اساس Socket انجام میدهد، هدرهای مورد استفاده در MQTT حجم خیلی کمیدارند و این امر باعث کاهش حجم ترافیک در تبادلات شده و هم چنین باعث سادگی پروتکل میشود
ارتباط از طریق یک کارگزار را تسهیل میکند و زیرساخت مهاجم را پنهان نگه میدارد.
توصیههای امنیتی
ماهیت حملات Spear Phishing به گونهای است که شناسایی آنها بسیار دشوار است و متأسفانه هیچ ابزار و روش فنی کامل و کارآمدی برای توقف وجود ندارد.
بهترین روش دفاع در برابر حملات فیشینگ هدفمند، استفاده از خرد انسانی است و اینکه سازمانها برای حفاظت بهتر باید زیرساختهای امنیتی عمیق (مانند احراز هویت دوعاملی (۲FA) و سیاستهای مربوط به مدیریت پسوردها) در مقابل این بدافزار داشته باشند .
همچنین به کاربران توصیه میشود برای مقابله با این بدافزار از ضد بدافزار بهروزشده استفاده کنند.
کد مطلب : 20594
https://aftana.ir/vdcjxie8.uqeyhzsffu.htmlaftana.ir/vdcjxie8.uqeyhzsffu.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵