هدف قرار دادن کشورهای آسیایی با بدافزار استخراج بیت‌کوین توسط گروه‌های جاسوسی سایبری

پژوهش‌گران امنیتی یک قطعه‌ی بدافزاری سفارشی را کشف کرده‌اند که در طول چند ماه گذشته، کشورهای آسیایی را تحت تاثیر قرار داده و قادر به انجام کارهای مخربی مانند سرقت گذرواژه، استخراج بیت‌کوین می‌باشد و نیز دسترسی کامل نفوذگرها به سامانه‌های آسیب‌دیده را فراهم می‌سازد.

این عملیات تحت عنوان PZChao، پویشی‌ست که توسط پژوهش‌گران امنیتی بیت‌دیفندر کشف شده و سازمان‌هایی را در بخش‌های دولتی، فنآوری، آموزش و ارتباطات راه دور در آسیا و آمریکا هدف قرار داده است.

 

پژوهش‌گران بر این باورند که ماهیت، زیرساخت و بارداده‌ها، از جمله نوع دیگری از تروجان Gh0stRAT، در حملات PZChao مورد استفاده قرار گرفته‌اند که یادآور گروه نفوذگران بدنام چینی (ببر آهنی) می‌باشد.

با این حال، این پویش، بارداده‌های خود را برای رها کردن تروجان، انجام جاسوسی سایبری و استخراج ارز مجازی بیت‌کوین توسعه داده است.

پویش PZChao با استفاده از روش‌های حمله‌ی مشابه با گروه ببر آهنی به اهداف خود در آسیا و آمریکا حمله می‌کند، که به گفته‌ی پژوهش‌گران، به بازگشت احتمالی گروه APT چینی اشاره دارد.

از ماه ژوئیه‌ی سال گذشته، پویش PZChao با پیوست پرونده‌ی مخرب VBS که از طریق رایانامه‌های فیشینگ بسیار هدفمند ارائه می‌شود، سازمان‌ها را هدف قرار داده است.

اسکریپت VBS در صورت اجرا، برای دستگاه ویندوز تحت تاثیر قرار گرفته، از یک کارگزار توزیع میزبان «down.pzchao.com» بارداده‌های اضافی بارگیری می‌کند، که به هنگام بررسی، یک آدرس آی‌پی (125.7.152.55) در کره‌ی جنوبی به‌دست آمد.

عاملان تهدیدکننده در پشت این پویش، حداقل ۵ زیردامنه‌ی مخرب از دامنه‌ی pzchao.com را کنترل می‌کنند که هرکدام از این زیردامنه‌ها برای انجام وظایف خاصی مانند بارگیری، بارگذاری، اقدامات مرتبط با RAT و تحویل DLL مخرب مورد استفاده قرار می‌گیرند.

 

پژوهش‌گران خاطرنشان كردند که بارداده‌هاي گسترش یافته توسط عاملان تهديدكننده «متنوع بوده و قابليت بارگیري و اجرای پرونده‌هاي دوتايي اضافي، جمع‌آوري اطلاعات خصوصي و اجرای از راه دور دستورات بر روی سامانه را دارا مي‌باشند.»

اولین بارداده‌ی اجرا شده بر روی دستگاه‌های آسیب‌دیده، یک استخراج‌کننده‌ی بیت‌کووین است که به‌عنوان یک پرونده‌ی java.exe ظاهر شده و هر 3 هفته یک بار در ساعت 3 قبل از ظهر، زمانی‌که اکثر مردم مقابل سامانه‌هایشان نیستند، به استخراج ارز مجازی می‌پردازد.

علاوه بر این، این بدافزار برای سرقت گذرواژه، یکی از دو نسخه‌ی ابزار رمزگشایی Mimikatz (بسته به معماری عملیاتی دستگاه آسیب‌دیده) را به‌منظور دسترسی به گذرواژه‌ها و بارگذاری آن‌ها بر روی کارگزار دستور و کنترل به‌کار می‌گیرد.

آخرین بارداده‌ی PZChao، شامل نسخه‌ی اصلاح‌شده‌ی تروجان دسترسی از راه دور (RAT) Gh0st  است که برای عمل کردن به‌عنوان یک ایمپلنت دربِ پشتی طراحی شده و رفتاری بسیار مشابه با نسخه‌های شناسایی شده در حملات سایبری مرتبط با گروه APT ببر آهنی دارد.

 

تروجان دسترسی از راه دور Gh0st مجهز به قابلیت‌های جاسوسی گسترده‌ای است، از جمله:

•سامانه‌ی ثبت‌کننده‌ی کلیدهای فشرده شده از راه دور به‌حالت برون خط و بلادرنگ

•فهرست کردن تمام پروسه‌های فعال و پنجره‌های باز شده

•گوش دادن به مکالمات از طریق میکروفون

•استراق سمع ویدئوهای زنده‌ی وب‌کم

•امکان خاموش کردن و راه‌اندازی مجدد سامانه از راه دور

•بارگیری دوتایی‌ها برای میزبان راه دور از طریق اینترنت

•اصلاح و سرقت پرونده‌ها و موارد دیگر.

تمام قابلیت‌های فوق به مهاجم راه دور اجازه می‌دهد تا کنترل کامل سامانه‌ی آسیب‌دیده را به دست گرفته، به جاسوسی از قربانیان بپردازد و به‌راحتی داده‌های محرمانه را به‌دست آورد.

 

پژوهش‌گران می‌گویند که ابزارهای مورد استفاده در پویش PZChao چند ساله هستند، «مورد آزمایش قرار گرفته و برای حملات آینده بسیار مناسب هستند.»

گروه ببر اهنی که فعالیت خود را از سال 2010 میلادی آغاز کرده و به نام‌های «Emissary Panda» یا « Threat Group-3390» نیز شناخته می‌شود، یک گروه تهدیدکننده‌ی پیشرفته‌ی دائمی (APT) چینی است که در پشت پویش‌های پیشین قرار داشته و منجر به سرقت اطلاعات فراوانی از مدیران و پیمانکاران دفاعی مستقر در آمریکا شده است.

این گروه مانند پویش PZChao، علاوه بر حمله به اهدافی در آمریکا، حملاتی را نیز علیه نهادهایی در چین، فیلیپین و تبت انجام داده است.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید