هدف قرار دادن اشخاص حقیقی توسط نفوذگران کره‌ی شمالی

Proofpoint گزارش می‌دهد، Lazarus، گروه نفوذی تحت حمایت دولت کره‌ی شمالی، به‌جای تمرکز تنها بر روی جاسوسی در موسسه‌های مالی، به‌طور مستقیم هدف قرار دادن افراد و سازمان‌ها را آغاز کرده است.

 

گروه Lazarus که حداقل از سال 2009 میلادی فعال بوده است، یکی از مخرب‌ترین عامل حمایت شده توسط دولت‌ها محسوب شده و متهم به دخالت در حملات بزرگ فراوانی می‌باشد. برخی از این حملات عبارتند از؛ نفوذ به تصاویر سونی در سال 2014 میلادی، سرقت 81 میلیون دلار از بانک بنگلادش در سال گذشته و حمله‌ی باج‌افزار گریه در سال جاری.

 

به‌تازگی مشاهده شده است که این گروه به‌طور فزاینده‌ای بر روی حملات با انگیزه‌ی مالی متمرکز شده و به‌ عنوان جدی‌ترین تهدید علیه بانک‌ها در اوایل سال جاری نامگذاری شده است. اخیرا، با افزایش سرسام‌آور ارزش ارزهای مجازی، این گروه علاقه‌ی شدیدی به  ارز مجازی نیز نشان داده است.

 

حملات چند مرحله‌ای کشف شده توسط Proofpoint، برای گسترش درب‌های پشتی پیچیده و بدافزارهای شناسایی، به استفاده از فریب‌های مربوط به ارز مجازی وابسته هستند. در برخی از موارد، نفوذگرها در تلاش برای سرقت کلیدهای خصوصی کیف پول و مبادلات ارز مجازی، بدافزارهای اضافی، از جمله تروجان دسترسی از راه دور Gh0st (RAT) را گسترش می‌دهند.

 

علاوه بر این، پژوهشگران امنیتی Proofpoint کشف کردند که عاملان تهدیدکننده تحت حمایت دولت کره‌ی شمالی، به‌منظور سرقت اطلاعات کارت‌های اعتباری، هدف قرار دادن یک چارچوب مرتبط با نقطه‌ی بازار فروش (PoS) را نیز آغاز کرده‌اند. این حملات PoS با توجه به زمان‌بندی خود در نزدیکی فصل خرید تعطیلات، می‌توانند منجر به زیان‌های مالی فراوانی شوند.

 

Proofpoint در گزارش جدید خود، جزئیات مجموعه‌ای جدید از ابزارهای نرم‌افزاری مرتبط با گروه Lazarus را ارائه می‌دهد. این مجموعه‌ی ابزارهای نرم‌افزاری کهPowerRatankba  نام دارد، از طریق پویش‌های فیشینگ، افراد، شرکت‌ها و سازمان‌های علاقه‌مند به ارز مجازی را هدف قرار می‌دهد.

 

مشاهده شده است که نفوذگرها از مجموع ۶ مسیر حمله‌ی مختلف ارائه شده توسط PowerRatankba، از جمله یک بارگیری‌کننده‌ی قابل اجرا بر روی ویندوز با نام PowerSpritz، یک پرونده‌ی مخرب میان‌بر ویندوز (LNK)، پرونده‌های مخربCompiled HTML Help (CHM)، بارگیری‌کننده‌های جاوا اسکریپت (JS)، دو سند آفیس مایکروسافت مبتنی بر ماکرو و برنامه‌های محبوب دارای دربِ پشتی ارز مجازی میزبانی شده بر روی زیرساخت دامنه‌ی بین‌المللی (IDN)، استفاده می‌کنند، درنتیجه ظاهرا قانونی هستند.

 

این پویش‌ها تقریبا در تاریخ ۳۰ ژوئن  ۲۰۱۷ میلادی آغاز شده و شامل حملات فیشینگ بسیار هدفمند هستند که حداقل بر روی یکی از مدیران اجرایی یک سازمان ارز مجازی متمرکز شده‌اند.

 

مسیرهای حمله

 

بارگیری‌کننده‌ی PowerSpritz با استفاده از الگوریتم رمزنگاری Spritz، هر دو قابلیت بارداده‌ی قانونی و دستور مخرب PowerShell خود را پنهان می‌کند. این بارگیری‌کننده از طریق حملات فیشینگ با استفاده از سرویس کوتاه‌کننده‌ی پیوند TinyCC برای مخفی کردن پیوند مخرب به‌کار می‌رود.

 

PowerSpritz در ابتدا به‌عنوان به‌روزرسانی تلگرام و یا اسکایپ، یک نصب‌کننده‌ی قانونی را برای فریب کاربران مبنی بر اینکه یک نصب‌کننده یا به‌روزرسانی برنامه‌ی کاری را بارگیری می‌کنند، راه‌اندازی می‌کند. با این حال، در پس‌زمینه، یک دستور PowerShell برای بارگیری مرحله‌ی اول PowerRatankba اجرا می‌شود.

 

مشاهده شد که پرونده‌ی مخرب LNK از یک روش دور زدن AppLocker برای بازیابی بارداده از پیوند کوتاه‌کننده‌ی TinyURL استفاده می‌کند. پرونده‌های CHM از یک تکنیک شناخته شده برای ایجاد یک شیء میان‌بر قادر به اجرای کد مخرب و منجر شدن این شیء به کلیک شدن به‌صورت خودکار، بهره‌برداری می‌کند.

 

بارگیری‌کننده‌های جاوا اسکریپت (JS) بر روی کارگزارهای تحت کنترل مهاجم میزبانی شده و برای بازیابی اسناد پی‌دی‌اف مخرب دارای زمینه‌هایی مانند بازارهای ارز مجازی Coinbase و Bithumb، Falcon Coin ICO و فهرستی از معاملات بیت‌کوین، طراحی شده‌اند.

 

پژوهشگران همچنین دو سند آفیس مایکروسافت VBScript، یعنی یک سند ورد و یک صفحه‌ی گسترده‌ی اکسل، را با این فعالیت مرتبط کردند. اولی از یک زمینه‌ی خدمات درآمد داخلی (IRS) استفاده کرده، درحالی‌که دومی از یک فریب Bithumb استفاده می‌کند.

 

بدافزار POS

 

به‌نظر می‌رسد نفوذگرهای تحت حمایت دولت کره‌ی شمالی، به غیر از سرقت میلیون‌ها دلار ارز مجازی، به سایر فعالیت‌ها با انگیزه‌ی مالی نیز علاقه‌مند هستند. بنابراین، Proofpoint کشف کرده است که ظاهرا عملیات گروه Lazarus بر هدف قرار دادن پایانه‌های PoS کسب‌وکارهای عملیاتی در کره‌ی جنوبی متمرکز است.

 

پژوهشگران امنیتی خاطرنشان می‌کنند این حمله که RatankbaPOS نام دارد، «ممکن است نخستین پویش ثبت شده‌ی تحت حمایت دولت به‌منظور سرقت داده‌های PoS از یک چارچوب مربوط به PoS باشد.»

 

پژوهشگران امنیتی معتقدند که این بدافزار ممکن است یک فرم رمزنگاری شده از داده‌های مسیر را هدف قرار دهد و این نشان می‌دهد که عامل پشت آن، بر روی برنامه‌ی نرم‌افزاری، چارچوب یا دستگاه SoftCamp مرتبط با POS تمرکز دارد. پژوهشگران با اطمینان بالا معتقدند که این حملات در درجه‌ی اول دستگاه‌های کره‌ی جنوبی را هدف قرار می‌دهند.

 

شناسایی گروه نفوذ

 

Proofpoint می‌گوید: «نسبت دادن یک موضوع بحث‌برانگیز بوده و مسلما یکی از سخت‌ترین وظایف تحلیل‌گران اطلاعاتی است. با این وجود، براساس تحقیقات خود و با توجه به اطلاعاتی که در اختیار داریم، با اطمینان بالا ارزیابی می‌کنیم که این عملیات و فعالیت‌های مورد بحث در این تحقیق، به گروه Lazarus و در نهایت کره‌ی شمالی نسبت داده می‌شود.»

 

این شرکت امنیتی یادآور می‌شود که استفاده از یک اجرای خاص از رمزنگاری Spritz برای رمزنگاری بارداده‌ی نصب‌کننده‌ی قانونی PowerSpritz و دستورات مخرب PowerShell، به‌وضوح نشان می‌دهد که این گروه نفوذ پشت این حملات قرار دارد. علاوه بر این، تکنیک‌های مبهوت‌کننده‌ی مورد استفاده در این پویش‌ها، با آن‌هایی که قبلا به گروه Lazarus نسبت داده شده‌اند، همپوشانی دارند.

 

به گفته‌ی پژوهشگران امنیتی، این پویش‌ها و ابزارهای تشریح شده، به یک عامل دولتی با انگیزه‌ی مالی مربوط هستند که باید از گروه‌های جاسوسی و تخریب متمایز شوند. این گروه به‌دنبال پول است، به‌جای اینکه به‌عنوان یک عامل تهدیدکننده‌ی مرسوم، موسسه‌های مالی را برای جاسوسی هدف قرار دهد، به‌طور مستقیم از افراد و سازمان‌ها سرقت می‌کند.

 

Proofpoint نتیجه می‌گیرد: «به‌نظر می‌رسد که این گروه اکنون نه تنها سازمان‌ها، بلکه افراد را هدف قرار می‌دهد. افرادی مورد هدف قرار می‌گیرند که اغلب برای دفاع از خود و ارائه‌ی راه‌های جدید کسب درآمد برای کیت ابزاری عامل تهدیدکننده‌ی تحت حمایت دولت، دانش کمی دارند.»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید